Vault7 — Geräte- und Accountuntersuchung an US-Grenze — Amazon Echo — Neues Videoüberwachungsgesetz
Linus ist im Urlaub und daher spricht Tim heute mit Frank Rieger über die Erkenntnisse und Auswirkungen des "Vault7" getauften WikiLeaks-Leaks des internen Digitaleinbruchswerkzeugkoffers der CIA, den Trend der zunehmenden Geräte- und Account-Durchsuchung an der US-Grenze, der wachsenden Problematik Mikrofon- und Kamera-bestückter Internet-of-Things-Apparaturen und dem neuen Videoüberwachungsverbesserungsgesetz, das der Bundestag beschlossen hat.
Tim Pritlove
Frank Rieger
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Frank Rieger 0:00:00
Guten Morgen. Guten Morgen Tim. Ich weiß manchmal nicht alles, aber ich würde nicht absichtlich lügen.
Tim Pritlove 0:00:09
Und stehst du in Verbindung mit der CIA?Logbuch, Netzpolitik, Nummer zweihundertunddreizehn nach einer kleinen KreativPause äh sind wir jetzt mal wieder im Programm. Es war auch geplant schon etwas äh früher on Air zu gehen, aber da kamen ein paar Krankheitsabsagen.Dazwischen und umso mehr freue ich mich äh heute einen brauchbaren Ersatz für Linus gefunden zu haben, nämlich Frank Frank Krieger, hallo,Frank, ja ähm bastelt's auch gerade viel rum mit äh der Internetwelt, oder? Ja.
Frank Rieger 0:01:04
Eher so IOT ist gerade ein ein sehr interessantes Bastelthema. So ähm da passieren gerade jede Menge Dinge und man ist also wirklich krasse daran ist, wie billig das alles geworden ist, ne. Also du kriegst halt irgendwie so.Dinge, mit denen du früher Mondlandungen machen konntest jetzt so wirklich, wirklich für so zwei Dollar und da hat dann schon jemand dran verdient und das wurde auch noch was hinterher geschick.
Tim Pritlove 0:01:23
Uns befindet sich so viel Software drin wie äh vor zehn Jahren irgendwie im kompletten Betriebssystem.
Frank Rieger 0:01:28
Ja, vielleicht vor zwanzig Jahren, aber ja, mhm.
Tim Pritlove 0:01:31
Wird dauert auch nicht mehr lange und.
Frank Rieger 0:01:34
Halt so,Ja, also dieser dieser äh man kann kleine Prozessoren überall einbauen, wo es Sinn und auch keinen Sinn macht, äh Wahnsinn, der der äh schreitet unauffallsamt voran. UndMan hat immer so, so man so mit den Leuten in der Industrie diskutiert das Problemdass die Hände ringt auf der Suche nach irgendwelchen Ideen sind, wo man das alles jetzt verwenden kann, diese Technologie. Also man hat ja das Gefühl, Lauflösung wird laut Eimern rum und sucht einen Weg nach Nägeln.
Tim Pritlove 0:01:59
Das ist äh ja ich, ich will nicht sagen, wir haben's ja schon immer gesagt, aber wir.Sagt.
Frank Rieger 0:02:09
Also es ist halt so das Todioser T-Shirt kann man wirklich irgendwie äh häufiger anziehen.
Tim Pritlove 0:02:13
Ja, ist echt krass. Also äh ich meine wie vielleicht die meisten Hörer äh wissen, haben wir ja vor Gott, was haben wir jetzt? Über zwanzig Jahre,es ist zweiundzwanzig, gibt fast zweiundzwanzig Jahre her, das wäre irgendwie mit Chaos Radio angefangen haben und ich weiß noch, wie wir damals immer schon so dämonisch irgendwie.Äh na ja, ich will nicht sagen Weißsagung verkündet haben, aber wo ich mich noch sehr lebhaft dran erinnere, als das erste Mal ähm.So mit diesem Mubiltelefon so eine gewisse Verbreitung gefunden hat, sondern es muss so Ende der neunziger Jahre gewesen sein, da.
Frank Rieger 0:02:51
Achtundneunzig etw.
Tim Pritlove 0:02:52
Kam dann immer so diese können sie uns über das Telefon abhören und so, nicht? Da hatten äh also einige schon so ihre Aluhüte äh ordentlich auf und wir so, na ja, also so rein technisch.
Frank Rieger 0:03:05
Prinzip schon.
Tim Pritlove 0:03:07
Ginge das schon nur,praktisch äh wissen wir nicht, ob dieser Aufwand tatsächlich getrieben wird und da müsste man ja auch äh große Verschwörungstheorien zusammenrühren und so und die Zeit hat uns mittlerweile komplett eingeholt.
Frank Rieger 0:03:22
Na ja und ähm wir können eigentlich davon ausgehen, wann immer wir uns irgendeinen Quatsch ausdenken können, der wie eine Verschwörungstheorie klingt und es technisch möglich, dann wird halt gemacht.Also irgendjemand wird's dann halt schon tun,man mittlerweile eigentlich so sagen, also so na ja so der also für mich so dieses diese Erkenntnis aus den dem Teil des Nohendokumente, die sich dann halt über die,Also diese Tate Access Organisation bei der NSA, also die deren Hacker Truppe drehte, war so, na ja, wenn man sich's ausdenken kann, dann machen sie es halt.
Tim Pritlove 0:03:53
Das bringt uns auch schon äh zum ersten Thema so. Wenn man schon über Verschwörungstheoriensprechen, da ist dann auch unser Freund Juri als Sanchov nicht weit, der immer noch in London ausharrt in seiner Botschaft, aber äh ganz äh der hat jetzt auch wieder Internet, ne? Also das ist ja immer eigentlich mal äh abgeschaltet.
Frank Rieger 0:04:17
Also habe ich gelesen, dass ich's nach der Wahl wieder angedreht habe, ja. Also zumindest Twitter erwähnt, hat jetzt auch einen eigenen Twitter-Account.
Tim Pritlove 0:04:22
Den Twitter aber kein blaues Häkchen verpassen möchte.
Frank Rieger 0:04:26
Echt? Oh, das habe ich gar nicht bekommen. Na gut, also blaues Häkchen ist ja eh nur irgendwie hinderlich.
Tim Pritlove 0:04:32
Aha. Ja, so wie Trump, ne? Also einmal Potos und einmal Real Donald Trump gibt's jetzt auch äh gibt Wiki Leaks und einmal Real äh Julian Assange sozusagen.
Frank Rieger 0:04:46
Na ja, ich meine Herr Gott, das war so hat man mehr Freiheiten, ne?
Tim Pritlove 0:04:49
Der Trend geht zum Zweite Coin. Das wird mir vielleicht auch mal einen zulegen.
Frank Rieger 0:04:52
Genau. Real Tim Pretty.
Tim Pritlove 0:04:53
Genau. Man munkelt allerdings auch, das gibt's schon längst.Ja, wir äh wollen ähm sprechen äh auch nicht nur über das äh Release von dem sogenannten Wald äh seven.So hat Wiki Leaks das äh genannt, weiß gar nicht, gibt's irgendeinen Grund für diese sieben? Äh es ist halt einfach nur, weil's Fancy klingt.
Frank Rieger 0:05:18
Ich habe keine Ahnung. Ja, sie haben's irgendwie nicht erklärt, soweit ich weiß.
Tim Pritlove 0:05:21
Und das Ganze scheint zu sein, ein äh League aus CIA Kreisen.
Frank Rieger 0:05:28
Na, also was es ist? Ja, also was ist also mit.Kann man schon davon ausgehen, dass es so ist, weil äh auch die entsprechenden Statements halt das hier eher dazu vorliegen, dass sie halt sich darüber große Sorgen machen, die nationale Sicherheit und so. Ähm also worum sie's handelt, ist ein,also wirklich sagt er ist ein Teil einer größeren Serie und ist der größteDampf aus äh Geheimdienstdokumenten ever und so. Der Teil der jetzt released ist von diesem Waldseven. Ähm da worum es sich dabei handelt, ist ein ähm,Dampf aus einem Confluence. Ne, also ist ja ähm so ein Tool, was äh quasi das Vicky ist in äh Jyra,ist halt so ein so ein Ischio und Travelticket und sonst was Company Managementsystem Development Verwaltung und so,Ähm was halt so bei mittlerweile sehr, sehr vielen fünf verwendet, so wird so eben auch bei der CIA und diese Konferenz ist also quasi ein so ein Fancy Wiki. Also was halt irgendwie es ermöglicht, Lisa Patric anzulegen und ein bisschen Optimation daran zu tackern und so.
Tim Pritlove 0:06:28
Aber auch so eine Kolleporationssoftware für Teams.
Frank Rieger 0:06:31
Genau, so so Dinge. Und was was der bisher veröffentlicht hat, ist halt der sozusagen der textuelle Teil mit einer paar PDF-Dokumenten und so aus diesem Jahrund halt ein paar ganz ausgewählte Dampfs in in Form eines von Hexdams. Und,Die haben halt die Tools, die dahinter stehen, also die Hacking Tools ähmnicht veröffentlicht, sondern er sagt, okay, da wollen wir jetzt mit den Herstellern zusammenarbeiten, damit die die schließen können. Interessant an diesem äh an diesem Dampf ist.Also sind zwei Dinge zum einen die Kultur,die man da so einen Einblick bekommt, weil die plappern da halt auch, ne? Also die flaxen da und machen halt irgendwie ihre Würzchen und äh tun sich daneben Bilder rein und so. Also das halt.
Tim Pritlove 0:07:17
Meinst hier eher Agent sind auch nur Menschen.
Frank Rieger 0:07:19
Ja, es sind doch nur Menschen so, ne? Also ist halt so völlig über völlig überraschend. Weil die Leute, die mit äh die da dieses dieses ähm.Äh dieses Jahr offenbar benutzen, sind halt jetzt auch nicht so die die richtigen Schlaputergänzer, sind halt die Serie Hacker. Ne, sind halt Leute, die entwickeln da halt Software, also ist halt so, wenn man da reinguckt, dann sieht man, die entwickeln halt einfach Software, die zum Abhören von,na ja, eine große Auswahl an ja Geräten dient,und das ist halt der Unterschied, der ähm zu den Sachen, die wir von der NSA kennen, mit Ausnahme äh dieses Traumkataloges für die sogenannten Implants ist, dass es sich dabei halt nicht,Primär um Werkzeuge zur Netzwerküberwachung handelt, sondern halt um Sachen, die dazu dienen, äh ja Geräte zu infizieren so und ähm.Die machen sich da ganz viele Gedanken zum Beispiel darüber, wie ähm,Verwendet denn so ein, so ein jemand, der im Feld, also in the field, wie sie schreiben immer äh für wie verwendet er denn diese Tools? Und die werden dann halt so auf USB-Sticks ausgeliefert und die werden vorher, wenn wird gefragt, ganz genau,Was verwendet denn das Target,Also was welchen Computer oder welches Mobiltelefon verwendetes Ziel, wo halt diese Software eingeschleust werden soll, dann wird geguckt, ob man irgendwie online rankommt, dann wird geguckt, ob man also ob jemand da offline hin kann, irgendwie, keine Ahnung, Putzfrau, die halt,B-Stick reinsteckt oder so und dann haben sie halt natürlich immer so gewisse Unsicherheiten, dass sie nicht wissen, ob es jetzt irgendwie diese Windows-Version oder jene Windows-Version ist, weil kann man eigentlich nicht immer genau wissen so und dann kriegen dann teilweise so Kollektionen von USBSticks mit, ne? Also dann kriegen die halt so fünf, sechs USB-Sticks und die probieren sich halt nacheinander aus, bis es bei Dimm macht,so um halt irgendwie diese Infektion zu machen und dann fängt das Ding halt halt an nach Fall zu suchen und nach Hause zu telefonieren und also zu machen, was halt äh wie diese ähm ja, alsoGanze ist halt offensichtlich ausgelegt als Serviceabteilung für so Mission Impossible Style. Ähm wir müssen da mal rein auf den USB Stick reinstecken,Operation so. Das ist halt so der, also der der Gesamteindruck so. Es g.
Tim Pritlove 0:09:22
Sieht digitaler Einbruchswerkzeugkoffer sozus.
Frank Rieger 0:09:26
Genau, halt so, ja, mit Brechstangen halt so. Und die die sind halt aber nicht besonders standardisiert. Also die versuchen halt da drinnen immer wieder,so sozusagen so einen gewissen Grund reinzuziehen, also dass sie so zum Beispiel das Modul, was dann halt am Ende die Ployd wird auf dem infizierten Computerum nach Dateien zu suchen, bestimmte Dateien zu extrahieren, nach Keywords und die dann nach Hause zu schicken und so. Die sind relativ stabilisiert, aber dieser ganze Prozess ist Eindringens, des Explotens, des irgendwie auf dem Gerät resident werdendasieht man deutlich, dass sie da so ein bisschen damit kämpfen, dass es halt also einen äh also das Feld zu groß ist, die Anzahl der Varianten zu groß ist und sie da halt immer wieder sich drauf einstellen müssen. So und,Also man sieht halt so, sie haben so eine gewisse ähm also eine gewisse Methodologiesohne, also die haben halt so ein ähm.Also fange halt an mit einer Konfiguration, wo sie halt dem dem Fieldoffice oder gibt's so ein so einen schönen Fragebogen, ne? Also so ähm ist der so äh das ist der Codewort, das man dann nach mit drin suchen will, ist Fine Dining,das Case Officer Toolset undda äh sieht man drinnen halt so, wo sie dann so fragen, wer würde, wer würde das denn verwenden, so, wird's der Case Office da selber machen, also der ist E-Officer oder wird's ein Agent machen dem anderen, selber das Asset? Ähm oder jemand, mit dem man irgendwie sonst wie in Verbindung ist und dann,fragt man so, was worum geht's denn? Also was ist denn der Gegner, ist es irgendwie irgendein ein Business oder ist es halt irgendwie einen äh,eine Form Intelligence Agency oder ist es Tage möglicherweise ein Systemadministrator, wo man davon ausgehen muss, dass der ein bisschen genauer in seine Lokfails guckt. So und ähm,wird gefragt, so wird dieser äh wird dieses Tool unter den Augen von irgendjemand,So, also muss es so so sein, dass es also auch nicht mal ein Pop-up gibt oder so, weil jemand zugucken könnte. Ähm.Ja da wird gefragt, so ist es, dann Laptop oder Tablet oder was auch immer und so weiter. Also so diese diese ganze Reihe von sozusagen Fragen, die man so durchgeht, wie lange hat man am äh am Ziel, also wie lange darf man da verweilen,verwenden die da Krypto und so, also alle die fragen halt alles ab und bauen dann daraus ihre.Sozusagen ihr Toolset, ne? Also dann kriegst du so quasi dann vorkonfiguriertes Schweizer Taschenmesser mit genau den richtigen Klingen eingebaut äh die du halt für den Fall wahrscheinlich brauchen wirst.Offensichtlich wenn dann diese diese CIA-Hacker auch noch losgeschickt ähm zum Beispiel ins Konsulat nach Frankfurt, was ja so einer der kleineren Skandale war, die jetzt da drin steckte,In diesem Ding, da gibt's so ein Travel, also so ein so ein ziemlich humoristisch gehaltenen Travelguide so irgendwie was man dann so machen soll, wenn man halt für Technic und Support nach Frankfurt mussmit unter anderem den Hinweis, dass und das alles zuhört und mal in den Tankstellen kein ordentliches Essen bekommt,die ja, na ja, Amis halte. Ähm.
Tim Pritlove 0:12:22
Also in Frankfurt ist das Generalkonsulat der USA. Genau. Mhm.
Frank Rieger 0:12:25
Genau und und da sieht man dann halt auch, dass die dann unter der äh unter verschiedenen Talehend hinten agieren, also zum Beispiel als Vertreter des Außenministeriums unterwegs sind oder so und die ähm also daraus wird deutlich, dass die.Damit auch vor Ort unterwegs sind, ne, also dass die dann halt einen Hacker,Noch zum Beispiel Frankfurt schicken, damit der direkt mit dem Case Officer reden kann, der im Zweifel zwei dreimal hingehen kann zum Target oder so, wenn der halt irgendwie da eine in der Gegend ist oder soum halt näher dran zu sein, also auch Zeitzonenmäßig, ne? Also um halt irgendwie die Möglichkeit zu haben, schneller zu reagieren oder den halt am Telefon zu haben, wenn der halt irgendwie grade da ist und dannäh USB-Stick rein und sagt, okay, nee, hat nicht Bingen gemacht und äh steckt da im Saft hier, steckt immer den Grünen rein oder so.
Tim Pritlove 0:13:11
Ist so ein bisschen, wenn bei James Bond dann so Q auftaucht und dann zur Seiten.
Frank Rieger 0:13:14
Ja, ja, genau, so hast du's so dann machen. Die spielen dann halt Q so, ne? Also das ist halt so der ähm das Ding und die ähm,Also klar ist halt aus den aus den der Vielfalt, die die da haben, das ist halt zum einen,machen die ein bisschen strategische Entwicklung, was hast du sie versuchen halt so auf den wesentlichen Plattformen, also insbesondere iOS und Android und Linux und Windows halt ähm quasi immer sozusagen den fertigen Werkzeugkasten zu haben,So also alles so die so die,sagen wir mal so fünf Mainstream Plattformen, dass man da immer was hat und dass da halt auch immer Explods da sind, um über jeden Angriffsweg, der halt,so sinnvoll möglich ist die halt vorzuhalten, die Anzahl dieser Explots ist jetzt nicht gigantisch groß.Also die haben halt, man, also die haben da auch so eine Historie drin teilweise so, wie lange war der Export unterwegs, also Vanessa tot gegangen, also zum Beispiel mit welchem Eiweiß-Update ist der halt rausgefallen oder wer hat denn parallel entdeckt,Ne, also da sind dann tauchen dann auch so Namen wie Stefan Essert zum Beispiel auch, so der halt irgendwie so ja entdeckt von dem danach gefixt so. Na, also die hatten dann, also man sieht halt so die,kaufen halt auch ganz viele Explots ein. Also ist halt ganz viel Tools und Explors sind halt von kommerziellen Zulieferern,Ähm das heißt also man sieht da quasi auch das andere Ende dieser äh dieser Zero Day ähm Verkaufskette, ne? Also wenn halt Leute an irgendwelche Brocker verkaufen.Die dann halt nicht explizit sagen, wir verkaufen nur an die Hersteller, also wir leiten es nur an die Hersteller weiter, so irgendwie syrische TÜV zum Beispiel, sondern hat die halt so eher wie Syrodien oder so unterwegs sind, die halt eher so.Serudium ist einer von diesen diesen Ray Trailer Firmen so oder gibt's, gibt's so diverse Firmen, so und auch einige, die nicht mal Firmen sind, sondern nur Individuen, die da halt unterwegs sind und halt dieses Brokering machen. Und da sieht man halt das andere Ende, ne. Also die sind dann hal,Undercontract oder so, ne? Und manchmal kriegen sie dann halt auch was von NSA rübergeschoben, also wenn sie dann fragen, sagen, wir müssen hier malwas, dann kriegen sie offensichtlich offenbar was rübergereicht und auch da sieht man wie dersie extrem eng mit den Briten zusammenarbeiten. Also die machen halt so Joint Workshops, mit den GCQ und ähm,kriegen von denen auch Exports rüber und schieben denen auch Exports rüber. Das sieht man halt so an diesen diesen Tambularischen Übersichten, dass die, also das sind da oft mal eine intensive Arbeitsbeziehung gibt und ähm die Cassons da halt äh ja doch äh eine privilegierte Position haben.
Tim Pritlove 0:15:37
Special Relation Chip ist immer noch at Work, zumindest auf der Ebene.
Frank Rieger 0:15:41
Genau.Interessant an dem an dem ganzen Dingen ist halt auch so die Art und Weise wie die da so arbeiten. Also die haben dann halt so richtig Releases,und ganz viel von dem Vicky dreht sich halt auch darum so,Wie kriegt man denn irgendwie was unter welcher Plattform zum Compeilen und welche welche Möglichkeiten hat man um diese oder eine DL zu Insekten und also halt so Techniken, um auf dem System,sich reinzubohren, festzusetzen und nicht entdeckt zu werden, dann gibt's auch so richtig lange Hauttoos mitwie sorgt man dafür, dass man sein Risiko entdeckt zu werden, minimiert, also welche Kryptoverwendet man und so, das hat so richtig so eine ja, also so ein, also eine Menge Leermaterial quasi auch so von,wo man sieht so, okay, das sind so ich würde mal schätzen in der großen Ordnung so hundert, zweihundert Leute so die da aktiv sind.Ist ja quasi funktioniert wie eine Firma, ja? Die haben halt so Produktlinien und die haben halt irgendwie an denen arbeiten halt ein paar Leute und die haben dann halt Relises und die müssen halt adaptiert werden und dannhaben sind, so haben sie genau dieses Problem, also normales Startup auch hat, nämlich so zwischen Projekt und Produkt zu differenzieren, beziehungsweise den Übergang dazwischen zu managen, so also wie viel muss ich da jetzt dann noch dran rumpatschen und für den Customer und so?Und die, also das Ganze unterscheidet sich jetzt nicht so sehr von dem, was eine.Also meine Security Research Bude ähm äh eine größere Macht,sie halt irgendwie versucht Dreck zu, also zu gucken, was passiert in der Öffentlichkeit, also welche Sachen an an neuen Reset Trailern passieren, welche neuen Tools werden released so, also welche ähm,ja, Werkzeuge, die man äh die man für Reverse Engineering verwenden kann oder die ähm das Leben hier und da einfacher machen, gibt es welche neuen Techniken sind entdeckt wordenman experimentierte, man probiert die aus so, dann beschaffen die sich halt irgendwie die Hardware. Da gibt's eine so eine, eine relativ lustige Geschichte da drin, dass nämlich die, die halt halt auch das Problem haben,ähm was auch Leute haben, die ein normales dafür Mobilität für Mobiltelefone entwickeln, dass die ja häufiger auch Sachen haben, die älter, also ältere Software.Und ähm iOS ähm Backgrade ist ja wird da zunehmend schwieriger. Muss dann immer Jaybacken und so und da halt irgendwie und ähm,haben aber die eiserne Regel, dass ihre äh Einbruchswerkzeuge immer getestet werden auf exakt derselben Hardware,mit der exakten Softwareversion, die des Tages hat.Ne, damit's nicht irgendwie irgendeine Chance gibt, dass es irgendwie crasht oder irgendwie die Platte voll läuft oder irgendein Unsinn passiert, der halt die Entdeckungswahrscheinlichkeit erhöht,Und das stellt sich natürlich für Probleme, weil die haben natürlich kriegen die teilweise nicht mehr ran oder so, da müssen die dann halt irgendwie komisch beschaffen so und dann gibt's da offensiv so eine getarnte Beschaffungsorganisation,dann halt den Kram einkaufen, weil der sieht keine schlechteste, ihre CIA-Karte hinlegen, ist ein bisschen schwierig so, ne,Sie müssen sich das halt irgendwie beschaffen so und ähm.Die äh deswegen müssen sie dann halt auch irgendwie, also dreht sich ein Teil dieser dieser Einträge dreht sich halt dann um im Inventory Keeping. Wer hat denn jetzt gerade welches Telefonzone?
Tim Pritlove 0:18:52
Also was was ich da ja im Prinzip abzeichnet ist, dass dass wir hier ähm.Riesenmarkt vorfinden, also es ist jetzt auch keine keine wirkliche äh Neuigkeit, aber es bekräftigt sozusagen die Erkenntnis, noch ein weiteres Malder eben jetzt nicht nur ausUnternehmen besteht, die nach Sicherheit dürsten und deswegen ein Sicherheitsfirma beauftragen, doch sag mal irgendwie alles zu überprüfen, ob bekannte Sicherheitslücken hier noch anschlagen oder äh neue gefunden werden.Es gibt vor allem so eine große Börse der der Unsicherheits ähm Schwankungen, wo eben äh klickliche Preise gezahlt werden,Und natürlich ist das Interesse hier bei kriminellen Gruppen ohnehin schon groß, weil die dann natürlich damit potenziell über Mywayrenson Whey et cetera ähm,Geld machen könnten.Aber in dem Moment, wo natürlich der Staat, insbesondere die USA, mit ihrem hohen Interesse dort reingeht und über beträchtliches Budget verfügt, treibt das natürlich die Preise auch nochmal nach oben und vor allem die Motivation, dass an die Firmen zu geben, damit's gefixt wird.
Frank Rieger 0:19:57
Ähm äh ja auf was man sich vor allen Dingen vergegenwärtigen muss, ist, dass die ähm also wenn man sich die Preise anguckt, die die,Also da da steht jetzt in dem Lied dazu nichts drin, also da stehen halt nur drin, also da steht auch stehen auch soweit ich gesehen habe keine Namen drin von Firmen von denen sie den Kram haben sondern nur das dann Purches Trump Commer Jevendor ist so,und aber was man halt weiß über die Preise, die so gezahlt werden für ähm für funktionierende Expert-Chains, die halt auf Sero Days beruhen. Ähm.Scheint mir eher das Problem zu sein, dass die Dienste sich die Preise nicht mal nicht verderben wollen, indem sie zu viel zahlen, ne? Weil aus deren Sicht ist der Teil alle Chicken Shit,Ja, also wenn die irgendwie hundert Millionen im Jahr für Explots ausgeben, äh dann ist das wahrscheinlich schon extrem viel, wahrscheinlich ist es nicht mal die Hälfte davon, was sie dafür ausgeben.Und ich meine, wenn man so angucken so, der der teuerste, was du gerade haben kannst, ist halt eine funktionierende, funktionierende Remote Excess,Rout, Explore äh gegen aktuelles IOS. Ne, also gegen aktuelles iPhone so, da wird's so mit einer Million anderthalb bewertet,bezahlt so, dass du dafür kriegen kannst, wenn du halt irgendwie äh in der Regel kommst du halt nicht mit einem mit einem Explort durch, sondern du hast.
Tim Pritlove 0:21:15
Ross mit Kaskade von verschiedenen Sachen.
Frank Rieger 0:21:17
Genau, so eine Kaskade bist du dann halt auf dem linken Rasident werden kannst. Und du bist halt das Abball-Limit, so teure Explots werden am Markt, zumindest soweit mir bekannt nicht gehandelt. So alles andere ist weit drunter, also ich sage mal so ein, so ein Wald und Wiesenendexploid, der halt irgendwie dir.Auf, ich sage mal, einem etwas älteren Android halt irgendwie einen ähm einen Remotex gibt, der geht halt für fünfzig, sechzigtausend evantisch, ne? Das ist halt auch jetzt keine keine Gigantensummen aus Sicht der Geheimdienste.Also wenn du überlegst, was die sonst tun, die mal eben, also meine Musik, diese diese Gesamtgeheimniskonstellation in den USA sich anguckt, mit was hatten sie ihren Budget vierundfünfzig Milliarden,Okay, ist jede Menge Personal da bei uns, aber die bauen sich dann halt eben doch mal Satelliten für eine Milliarde oder zwei. Ne und das im Vergleich halt dazu irgendwie mal so eine funktionierendes,äh ja, so einen funktionierenden Baukasten zu haben, mit dem sie halt im Zweifel viele von den selben Ergebnissen dadurch kriegen, dass sie in anderen Leute Computer einbrechen,ist natürlich für die echt billigSo und auch die Abteilung ist vergleichsweise klein. Und die scheinen auch ganz schön besiegt zu sein. Also es wird halt deutlich, dass der, also aus dem, dem, was man so lesen kann, den Vicky und wie die Leute schreiben, wie kurz die teilweise ihre Beiträge halten und an welchen Stellen sie überhauptanfangen in längere Diskussionen einzusteigen, dass die dann schon unter Druck stehen. Also die haben die haben ordentlich Dampf auf äh,äh an Bedarf da. Das heißt also, wir können davon ausgehen, dass das, was wir da sehen,einem weit eingesetztes, häufig verwendetes Standardtool ist. Also jetzt nicht so ein einmal im Jahr müssen wir hinter uns zum iranischen Atomwissenschaftler hersteigen, bingen, sondern so ein,wird halt verwendet, wann immer es halt irgendwie konveniert ist.
Tim Pritlove 0:22:59
Also nicht eins dieser Tools, sondern das komplette Toolset sozus.
Frank Rieger 0:23:01
Dies gesamte sozusagen die die diese Organisation, diese diese äh so, also ist halt klar, dass das eine eine häufig verwendete, gerne genutzte Weib, also sozusagen Standardwerkzeug.
Tim Pritlove 0:23:13
Klar, ich meine, die Fangensicherung irgendwo ein, so, wo auch immer, in welchem Kontext auch immer. Telefone sind in der Regel dabei,oder auch andere Geräte, da will man dann halt irgendwie ran. Laptops sind wahrscheinlich vergleichsweise einfach zu äh lösen, weil da einfach zu viele Angriffspunkte existieren.
Frank Rieger 0:23:33
Ja, die Lotte lassen wir noch hier Notebooks im Hotelzimmer.
Tim Pritlove 0:23:35
Bei Smartphones sieht's schon anders aus, bei alten Android-Versionen dürfte das Angebot an Sicherheitslücken noch verhältnismäßig groß sein. Bei neueren Sachen wird's dann schon ein bisschen dünner. Bei iWas wird's noch dünner.
Frank Rieger 0:23:47
Genau. Aber klar ist halt, sie haben halt für eigentlich immer, haben sie für alles, wenn nur Physical Access hast,also an das Gerät rankommst, haben sie immer was. Also sie sollte also gab's nirgendwo ein Scheiße, wir stehen jetzt hier gerade mal ohne da. Das ist halt also so, wenn wenn sie irgendwie ans Gerät rankommen, haben sie immer was.Da kann man so einfach festhalten.
Tim Pritlove 0:24:08
Wirft ja auch nochmal einen äh interessanten Blick auf die Debatte, die wir hatten zwischen dem FBI und äh Apple, wo es ja im Prinzip genau um das Gleiche ging, also nach dem Motto, wir haben hier ein Telefon, wir kommen da nicht rein. Äh hatte das FDP FBI äh da keinen Zugriff auf dieses Arsonal.
Frank Rieger 0:24:23
Ne, also davon kann man ausgehen, dass sie da nicht äh also nicht regulären Zugriff haben. Das ähm.
Tim Pritlove 0:24:30
Weil sie da gesetzlich vor äh geschützt sind oder ob die sich alle untereinander nicht.
Frank Rieger 0:24:35
Na zum einen trauen sich diese diese ganzen amerikanischen Sicherheitsbürden trauen sich alle nicht übern über den Weg.
Tim Pritlove 0:24:40
Die wissen viel zu viel übereinander, um sich.
Frank Rieger 0:24:43
Vor allen Dingen wissen sie, also haben sie eine Organisations also ein Organisationsgedächtnis ähm aus dem heraus, sie wissen, dass.Der ähm die anderen Organisationen nicht so sorgfältig mit ihren Informationen, Werkzeugen umgehen, wie sie es selber tun würden,Also die verdächtigen sich halt immer alle gegenseitig, wenn wenn irgendeiner von denen dann Exess bekommt oder du ihnen ein Werkzeug sich ein Werkzeugruh erreichen oder so, ähm dass das dann halt,äh eigentlich verbrannt ist, ne, weil sie das halt dann irgendwie ihren eigenen Prioritäten entsprechend verwenden und halt nicht daran denken, dass sie halt möglicherweise ein bisschen aufpassen sollten,und dementsprechend wenn die da was hatten, also wenn die halt einen zu dem Zeitpunkt ein Werkzeug hatten, was mit äh was ja auch gerüchtet wurde, also zu dem Zeitpunkt gab's ja Gerüchte, dass also auch einige Leute, die,die vorher bei NSA oder hier waren, twitterten ja auch so, ja, worüber reden wir eigentlich hä? Und,reflektiert sich da halt schon so, ne? Also diese,zu diesem spezifischen Zeitpunkt habe ich also dazu habe ich jetzt spezifisch nichts gefunden, da gab's keine keine Kommentare, ähm aber es ist halt klar, dass dass sie halt da immer,das Ziel haben und meistens offenbar erfolgreich sind jeweils zur aktuellen Version halt irgendwie was zu haben. So, was Physik für Physikalex ist, ne? FürRemotexes ähm es scheint nicht so ihr Fokus gewesen zu sein, also gibt's halt auch, aber ist jetzt nicht nicht so der zentrale Fokus und sehr interessant war, dass die,Die Tools für Android sich äh.Also die gucken sich halt immer nicht das spezifische Gerät an, sondern die Chipset-Familie.Also die sagen halt, okay, funktioniert auf diesem und jedem Baustein, ne? Also funktioniert zum Beispiel mit dieser Serie Quark Com, Basebandchips, mit diesen Grafik-CPOs. Na, also das ist halt so, da gibt's halt so eine.
Tim Pritlove 0:26:36
Die sich eben spezifisch verhält. Genau. Mhm.
Frank Rieger 0:26:40
So, also ähm da bin ich sehr gespannt äh so falls Vicky Leaks da halt doch mal die tatsächlichen Tools releast,wie da die Exploid-Wege sind. Also weil mich also persönlich interessiert zum Beispiel halt äh ob die halt da ähm äh sozusagen produktivierte Exploid-Wege haben, die halt ein Telefonover, die ihr exploiden können,was halt, also jetzt nicht logisch so im Sinne von schicken dir halt eine eine äh MS oder sowas, die dann halt irgendwie dann den Telefon explodiert, sondern halt zum Beispiel über Space Band, also über denFunkchip, der in deinem Telefonkontakt mit dem mit Immobilientelefonnetz hält.Und deshalb wird halt nicht so richtig deutlich, aus dem, was wir bisher sehen, insofern bin ich sehr gespannt, was da noch kommt. Also, was die, die nächste Serie an, dann liegst da ergibt.
Tim Pritlove 0:27:23
Meine für die CIA ist das natürlich ja auch nochmal eine äh interessante äh rechtliche Diskussion. Es gibt in USA diesen sogenannten Walner Rebilitys, Equities Process,so 'ne Regelung ist, der offensichtlich weitgehend ignoriert wird, das ist so 'ne Ansage aus zweitausendacht, dass man jaPrinzip, wenn man halt Kenntnis von irgendwelchen Sicherheitslücken hat, selbstverständlich äh mit den Herstellern da versucht.Ähm ja, Kommunikation aufzubauen, damit dann halt solche Sicherheitslücken äh entfernt werden können.Das ist alles Homebook, oder? Ich meine, es äh scheint ja nun nun keiner wirklich ein Interesse daran zu haben.
Frank Rieger 0:27:57
Na ja, also man sollte man vielleicht nochmal ganz kurz erklären, was was damit eigentlich bezweckt wird, weil wir sind ja ein äh de facto in Deutschland jetzt demnächst in der selben Diskussion.Also dieser Volubil Dies Aquis Proces war so eine Art Beruhigung, die.Eingebaut wurde äh unter Klaus Obama damals schon zweitausendacht. Ja. Ähm.Die sozusagen da eingebaut wurde, gesagt wurde, okay, wir brauchen als Staat, brauchen wir Sicherheitslücken in Einzelfällen, selten, manchmal, um halt unseren nationalen.
Tim Pritlove 0:28:31
Das muss noch George dabei Busch gewesen sein. Na ja, acht Jahre.
Frank Rieger 0:28:34
Zweitausendacht, zweitausendsechzehn, weiß ich nicht genau, muss man nachguck.
Tim Pritlove 0:28:37
Ja
Frank Rieger 0:28:39
Um zu sagen, okay, wir,wir verwenden als Staatssicherheitslücken, aber wir gehen damit verantwortlich um. So im Sinne von wenn eine Agentin eine Sicherheitslücke hat, dann muss sie die zu uns bringen und die Sicherheitslücke wird dann bewertet nach dem Motto okay.Brauchen wir die ja wirklich ganz dringend oder wie lange brauchen wir die noch? Und für welchen Zweck brauchen wir die? Und dann wird entschieden an zu welchem Zeitpunkt sie der Hersteller mitgeteilt bekommt. So, also nach dem Motto wir,müssen davon ausgehen, wenn's da draußen Sicherheitsrücken gibt, dass wir selber betroffen sind,wenn man dem Hersteller nicht Bescheid sagen und diese Sicherheitslücke schließen oder wie es die Signaturen für diese Sicherheitslücke irgendwelche Firewalls tun, falls es halt möglich ist, dann kommen wir halt in Probleme, weil möglicherweise der Schaden größer ist, der dadurch entsteht, dassdiese Sicherheitslücke nicht geschlossen wird als das ähm wenn sie geschlossen wird, sondern das ist halt so dieses Equities, also dieses Abwiegen.Eigentlich galt dieser Prozess immer so ein bisschen als so eine Art.Experiment, um zu gucken, ob äh ob man sowas machen kann, also ob halt so ein, so eine Abwägung möglich ist, ne, also dass man eine rationale Entscheidung darüber trifft als Staat,dann gibt's dann einen einen Vorteil davon äh eine Lücke eine Zeit lang nicht zu schließen oder schließen wir sie lieber gleich. Und,Dieser Prozess hat aber in der Praxis halt ganz viele Probleme. Also zum einen ist es natürlich so, dass es halt immer eine eine wilde Annahme ist, welcher Schaden dadurch entstehen kann, dass man diese Lücke nicht schließt. Ne, also ist halt so ein, weiß man halt nicht.Also es liegt halt auch da an der anderen daran, dass also selbst die die Regierung hat in den USA hat halt kein Software-Inventory. Die wissen halt nicht mal, was sie alles an Softwareversionen im Einsatz haben. Die wissen nichtzentral an der Stelle, was irgendwie alles in welchem Subsystem, in welchem Militäreinheiten und so weiter verwendet wird. Das heißt, die können einfach auch nicht einschätzen, wie groß,das Risiko ist von einer bestimmten nicht geschlossenen Sicherheitslücke, dass sie halt der Gegner ausnutzen kann. Und insofern ist diese.Also lässt sich die Frage, ist dieses Experiment erfolgreich gewesen mit diesem äh Monobil Theater Process, das lässt sich,mindestens anhand dieses sehr Elis, dann jetzt letztendlich als klar nein beantworten. Weil da findet sich kein Hinweis darauf, dass die da irgendwas irgendwie äh ernstlich betrieben haben, also ihre Bax das vermittet haben oder so. Das äh ist so.
Tim Pritlove 0:30:58
Ja Process heißt ja im Prinzip auch eigentlich nur so eine Art Dienstanweisung. Es ist nicht wirklich ein.
Frank Rieger 0:31:04
Nee, es gibt ein Komitee. Also es gibt ja eigentlich gibt's da gibt's da so Sitzungen und da gibt's ein Komitee für und da ist also also eigentlich ist es halt schon so ein.
Tim Pritlove 0:31:11
Aber es ist kein Act, also es ist kein kein Gesetz, was man äh groß einklagen könnte, sondern es ist halt ein Processer, es ist sozusagen eine eine Verwaltungs äh Struktur.
Frank Rieger 0:31:20
War eine Exicitive. Aber ich bin nicht, bin ich mir nicht ganz sicher, wie es, wie es aufgehängt ist, aber de facto ist es halt so.
Tim Pritlove 0:31:26
Ich weiß auf jeden Fall, dass es kein Gesetz ist. So, ne?
Frank Rieger 0:31:29
Das kann sein, ja. Jedenfalls die diese Frage stellt sich ja in Deutschland jetzt auch, ne? Also wir haben ja diese,im Ausgang jetzt der der Kryptodiskussion,hat sich ja unser Innenministerium darauf äh verlegt, zu sagen, okay, ähm Krypto finden wir im Prinzip gut. Wir wollen aber Wege haben, sie zu umgehen, wenn wir müssen, was halt auf de facto Experte kontrollaner hinausläuft.Und ähm dieses äh äh da jetzt in der Entstehung befinde irgendwie äh Zentralbundeszeibeamter in Köln, was irgendwie dafür,Dienen soll halt den Behörden halt irgendwie als zentraler Ansprechpartner für solche Zwecke zu dienen. Ähm wird natürlich,In genau dieser Diskussion laufen. Also meine wir sagen schon länger, dass der Staat halt, wenn er von der Sicherheitslücke kennt, das hat dann,Das ist eine verdammte Pflicht, irgendwie anzusagen. Ähm dass er sie hat und ähm sie halt irgendwie dem Hersteller zur Verfügung zu stellen, damit sie schnellstmöglich geschlossen wird, eben weil ähm eine Abwägung eigentlich nicht möglich ist. Und das haben wir jetzt.Demonstriert bekommen, dass wir an diesem Punkt halt Recht hatten, dass wir also man einfach sagen kann ähm erstens, die Dienste scheren sich da sowieso nicht drum. So, also die.Wären halt, wenn nicht die Anweisung ist, sobald du von der Sicherheitslücke Kenntnis hast,dass sie dann geschlossen werden muss. Ähm da dann werden die da immer irgendwelche Ausreden erfinden, warum sie die jetzt gerade nicht, weil sie noch überprüfen mussten oder weil irgendwie gerade auf einer Operation oder irgend.
Tim Pritlove 0:32:56
War Freitagnachmit.
Frank Rieger 0:32:57
Irgendwer vor Freitagnachmittag halt unter uns und es sind dann halt leider sechs Monate nach Freitagnachmittag, aber es wiederholt sich auch mit dem Freitagnachmittag.
Tim Pritlove 0:33:03
Es kommt immer wieder, es ist ganz komisch.
Frank Rieger 0:33:05
Ja. Und daraus resultiert dann eben auch, dass diese ähm diese Idee einer Abwerkbarkeit ähm,Ja, können wir eigentlich Charakter legen. Also ist halt schon so, dass also klar ist, dass ähm dass die Dienste kein Interesse daran haben, dass sie dementsprechend dem auch nicht folgen werden und daraus ist dann resultiert dann halt eben doch, dass dieLücken halt einfach nicht geschlossen werden, sondern die genau das tun, was sie einmal vermutet haben, nämlich so lange wie möglich versuchen diese Lücken offen zu halten,Interessant ist, dass wir, also zumindest in den CE-Dokumenten ähm.Gibt es keine konkreten Hinweise darauf, dass sie äh versucht haben, Einfluss auf Hersteller zu nehmen, um Lücken länger offen zu lassen.Also das hat sowas ähnliches wie eine gute Nachricht. Also zumindest gibt's da in den diesen Dokument diesen Dokumentensatz keine Hinweise oft keine Ahnung was noch kommt, aber es stand heute haben wir zumindest keine,kann kein Hinweis auf direkte Einflussnahme zumindest auf die Hersteller haben, die die sich da kümmern.Was schon mal immerhin ein gutes Zeichen ist, weil das ja nun,Punkt, der also insbesondere gegen so Firmen wie Zisco und Orical ja immer wieder gerne äh vorgebracht wurde, eigentlich gut Cisco und Orecy sind jetzt keine Firmen, die sich da in diesen Dokumenten finden. Äh im größeren Maße äh.
Tim Pritlove 0:34:17
Dass sie das Spiel mitspielen.
Frank Rieger 0:34:18
Spiel mitspielen, also dass die halt ähm Sachen offenlassen. So und das ist ja auch das Gerücht, was ja schon sehr lange unterwegs ist. Ähm dass dieser Wohnraubility Equitys Process eben auch noch diese Komponente hat,Ne? Also das halt sozusagen die.Zwar die Hersteller mitspielen, sondern mit am Tisch sitzen manchmal, so dass sie sagen irgendwie Sachen erzählt bekommen so aber das,Druck gemacht wird und gesagt wird übrigens, wenn ihr euch mal ein halbes Jahr Zeit lassen könntet mit dem fixen dieser spezifischen Sicherheitslücke, dann wäre es ganz wunderbar. Und hier ist übrigens unser Fury Contract für irgendwie unser nächstes Datenbank-Upgrade,Ähm und.Findet, findet, glaube ich, aber eher auf NSA-Ebene statt. Deswegen ist es in diesem in dieser, also da drin jetzt halt nicht so richtig zu sehen. Ja.
Tim Pritlove 0:35:05
Ich denke, man muss sich auch immer wieder klar machen, ich meine in der Debatte geht's natürlich immer wieder auf dieselbe Geschichte, ne. Wir brauchen das, weil wir müssen ja den bösen Jungs äh oder auch Mädchen vielleichtauf die Finger schauen können und es kann ja nicht sein, dass wenn da so ein Bösewicht herumläuft, dass wir danndie mögliche Kenntnisnahme von möglicherweise unter Umständen wichtigen Informationen, Kontakten, Kommunikationsprotokollen et cetera, dass man das außen voll ist und das kann ja nicht sein. So, nur das Problem ist,dass diese Dinge dann vielleicht in Einzelfällen vielleicht tatsächlich zum Einsatz kommen und vielleicht auch mal was bringen,Nur dass halt die Zahl der potentiell geschädigten äh durch diesen durch diese Sicherheitslücke im Bereich von Mywear, Rancymare, einen zunehmenden Maße, gerade auch Behörden sind ja jetzt äh auch,akut bedroht von diesem äh Erpresserschema,dass da eben einfach der der gesellschaftliche Schaden und auch der Schaden für den Staat ähm einfach um ein Vielfaches höher ist.
Frank Rieger 0:36:10
Ne, der Staat hat ja also in in Deutschland zumindest hat der dann äh eine klare Aufgabe, nämlich halt irgendwie auch die Daseinsvorsorge für so einen Bürger. Ähm und damit wenn der halt von sich jetzt Lücken weiß und sie.Nicht schließt, ob es nun nicht veranlasst, dass sie geschlossen werden, dann ähm.
Tim Pritlove 0:36:27
Unterlassene Hilfeleistung.
Frank Rieger 0:36:28
Kommt er halt seine, also sein, seiner Verantwortung nicht machen, da muss man halt einfach klar so sagen. Das Gegenargument dagegen ist natürlich, dass sie sagen, okay, aber eine Sicherheit, ne? Äh ist ja nun auch äh ein wesentliches Recht und so.Super Grundrecht, genau. Ähm und wir argumentieren damit natürlich, okay, wir wegen das halt ab, aber ähm.Klar ist halt, wir wir sehen halt an dem Beispiel der USA, dass es halt so nicht funktioniert. Ne, also das ist halt so ein, so eine relativ offensichtliche,Ignoranz gegenüber ganzen Dinger. Das interessiert die einfach nicht, ne? Es wird halt irgendwie geregelt. Die die spannende Frage, die sich daraus ja ergibt, ist dann, wenn.Also.Wir haben ja bei den Snowdokumenten das Phänomen gehabt, dass der BMD die quasi als Blueprint genommen hat für seine Wunschliste. Ne, also das sagt er jetzt, also die.
Tim Pritlove 0:37:21
Das machen die. Das müssen wir auch machen. Genau. Hm.
Frank Rieger 0:37:24
Ich habe so den den Wagenverdacht, dass diese ähm diese Waldseven Release, also dieses wie strukturiert man denn eigentlich so eine, so eine digitale Angriffsabteilung? Ähm dass die bei den Citusleuten gerade sehr intensiv gelesen wird.Ne, weil also der Blue Print zeigt halt schon relativ offensichtlich, worüber man sich Gedanken macht, wie halt die Struktur funktioniert, wie halt irgendwie die Service äh Funktionen aussehen, was halt so der ähmJa, äh die typischen Arbeitsweisen sind äh wie groß irgendwie so ein so ein Laden sein muss, damit man halt so einigermaßen Coveric hat, in welchem Umfang man halt irgendwie Sicherheitslücken einkaufen muss, um halt irgendwie zu jedem Zeitpunkt irgendwie ähm einsatzfähig zu seinUnd so, also das ist halt ein ähm ja.Also jeder, der noch nicht so einen Laden hat, ähm der kann jetzt äh äh damit äh ja angehen, hingehen und sich mal sein Organigramm nehmen und dann eben liegen und,hier nachgucken so, ne? Also denke, das wird passieren. Genau, wie es beim BND passiert ist, so. Das äh und die die Frage.
Tim Pritlove 0:38:32
Seht ihr auch so ein bisschen wieder mal die die Leaks als solche auch ein bisschen in Frage, ne.
Frank Rieger 0:38:35
Na ja.
Tim Pritlove 0:38:37
Interne Geheimdienste, Dokumentationen wollen wir denn noch öffentlich machen, um die Blaupausen möglichst weit zu verbreiten.
Frank Rieger 0:38:47
Also ich denke Netto betrachtet ist der ähm äh ist es positiv, ne, dass wir davon wissen,einfachen Grunde, weil wir eine realistischere Einschätzung haben davon, wie vertrauenswürdig unsere Geräte sind, nämlich nicht,So, also wenn ich sehe zumindest so, ja und ähm die.Die Frage, wer denn sich da alles drauf einnistet, ist natürlich interessant so und ähm also mit der Anzahl der Akteure, die sich da tummelt, steigt natürlich die Wahrscheinlichkeit, dass man betroffen davon ist.Auf der anderen Seite erhöht sich dadurch aber eben auch der Druck. Also das wir halt jetzt klar sehen, ist halt irgendwie diese Schlamperei beim Thema IT-Security halt so einfach nicht weitergeht.Also ist halt so vollkommen klar, dass wir jetzt halt einfach Marktmechanismen brauchen, die der Start erzwingen muss, um dafür zu sorgen, dass wie diese Schlamperei aufhört. Und ähm dazu gehört halt aus meiner Sicht.Als ersten so kleinen Schritt eine klare Ansage, wenn du dir ein Gerät kaufst, wo ein Netzwerk drin ist.Gehört dann ein Label drauf bis zu welchem Datum garantiert Sicherheitsupdates dafür geliefert werden. Und wie oft.
Tim Pritlove 0:39:56
Mindesthaltbarkeitsdatum für Swit.
Frank Rieger 0:39:58
Für alles. So alles, was irgendwie bits bewegt, irgendwie, was nicht nur rein lokal ist. Ne, also also sobald es irgendwie ein Netzwerk hat,muss es irgendwie zwingend einen äh regulären Security-Abdruckzyklus dafür gebenAnsonsten ist es eigentlich nicht marktfähig, ne? Also genau wie man sagt, okay, Geräte, wo du halt einen Stromschlag bekommst, wenn du halt anfasst, sind halt nicht äh in der EU handelbar. Muss man halt einfach sagen, okay, wenn du nicht garantieren kannst, dass du Security-Updates in dem und dem Zeitraum lieferst, dann geht's halt nicht.Wer halt so ein so ein erster einfacher Schritt dafür aus meiner Sicht.
Tim Pritlove 0:40:30
Ist ganz interessant, ne? Ähm jetzt fordern wir ein äh Mindesthaltbarkeitsdatum ähm bis vor einVor kurzem war das quasi noch ein Kampfwort in die andere Richtung mit geplanter Obsoloszenz, ja? So, oh, deine Geräte, die funktionieren ja irgendwann nicht mehr und ich kann ein iPhone, was vier Jahre äh alt ist, nicht mehr auf die neuesteBetriebssystem Software bringen und es nicht mehr supportet und ich kriege keine Security Updates mehr dafür.
Frank Rieger 0:40:55
Ja, ich meine, das ist ja eigentlich das Problem. Ne, so weil ich weiß es ja vorher nicht.Ne? Also es ist halt so, es gibt halt so diese informellen, ja, so drei Jahre nach dem äh nach dem First Chipping, so. Da gibt's dann so Gerüchte so bei Apple, wie lange jetzt irgendwie so der die internen Support-Richtlinien sind. Bei Google gibt's noch viel wilder, weil.
Tim Pritlove 0:41:11
Okay, also soll, es sollte verbindlicher sein, aber auf der anderen Seite ist ja auch die Realität die, dass sich einfach eben alte Geräte auch nicht beliebig lange äh supporten lassen. Also zumindest nicht härten lassen.
Frank Rieger 0:41:21
Nee, ist okay. Äh weil da muss man's halt bitte vorher ansagen.
Tim Pritlove 0:41:23
Man sollte ja gut aber man weiß ja jetzt auch nicht so ganz genau, wann's wann's so weit ist, ne? Also ich meine, wenn die Erkenntnis so ist mit das können wir jetzt noch ein Jahr durchziehen, da ist jetzt äh äh nichts bekannt geworden. Ist ja was anderes, als ob man jetzt bei irgendeinem bestimmten Gerät weißDer Stein, den wir da verbaut haben, der lässt sich nicht updaten, der ist irgendwie in seiner Grundkonstruktion mit seinen nach außen geleitetenPins irgendwie angreifbar, da lässt sich jetzt sozusagen auch nichts mehr tun.
Frank Rieger 0:41:46
Gut, ich meine, solche Fälle gibt's halt immer, aber wenn du halt eine technische Möglichkeit hast und halt jetzt nicht nur sagst, wie zum Beispiel Apple, wir machen halt keine Updates mehr, weil wir jetzt so vierundsechzig Bit gegangen sind. Ne, also was ja so.
Tim Pritlove 0:41:56
Es kommen ja auch noch andere Zwänge.
Frank Rieger 0:41:57
Ne? Nein, das ist ja kein Zwang, ist ja eine Entscheidung. Ne, aber wenn du halt vorher als Apple weiß.
Tim Pritlove 0:42:01
Wir sind Marktzwängeln anderer.
Frank Rieger 0:42:03
Ja, aber wenn du vorher, wenn du vorher sozusagen kalkulieren musst, nehmen wir mal Beispiel Apple so, äh okay, du musst dieses iPad drei Jahre supporten,ne, dann kalkulierst du halt anders, dann wird's halt vielleicht ein bisschen teurer, aber dann musst du halt einfach dafür sorgen, dass deine Betriebssystemsversion halt immer noch auf der zweiunddreißig Bit,Also, dass dann da immer noch eine zweiunddreißig Bit-Version von vorliegt und die Security Patches exported werden. Und so muss man halt eigentlich ehrlicherweise kalkulieren. So, weil sonst verarscht du halt einfach den Kunden,Ich meine, ich sehe halt immer noch nicht ein, wie so mein iPad eins immer noch kein keine Security-Updates mehr bekommt, ja? Weil es funktioniert hervorragend. Ist ein tolles Gerät.
Tim Pritlove 0:42:37
Ja, ich habe hier auch noch ein paar rumliegen.
Frank Rieger 0:42:39
Ja, also ich meine, sind halt irgendwie, also selbst der Akku ist noch benutzbar, ja? Insofern ist es halt echt erstaunlich, aber ist so. So, nur ich kann damit halt nicht mehr ins Internet gehen. Ich kann nicht mal mehr Spiegel online aufmachen mit dem Browser, oder es ist mir um die Ohren fliegt,So und das hat eigentlich nicht einzusehen, ne? Also das hat so ein.Und wenn's einen Marktmechanismus gibt, also wenn du halt dein Aufkleber drauf ist, pass auf, drei Jahre Support und daneben liegt halt so ein Flower Power Interprises, Tablet und da steht halt drauf, sechs Monate Sumport, habe ich als.Kunde zumindest irgendeine Art von rationaler Entscheidungsgrundlagen. Also ihr habt dann halt zumindest die Möglichkeit halt einfach zu sagen, okay, ich kann das halt vergleichen. Momentan habe ich keine Vergleichsmöglichkeiten und habe eben auch keine,Idee davon, wie viel Wert der Hersteller darauf legt. Also so als also ich meine.
Tim Pritlove 0:43:25
Ja gut, ich meine, dein iPad ist jetzt sieben Jahre alt, ich glaube, es ist äh hat die drei Jahre ist Garantie schon lange durch.
Frank Rieger 0:43:31
Zugegebenermaßen, aber so gute Artwork. Ich finde die toll, ja. Ist halt irgendwie ein bisschen heavy, aber ansonsten ist sie echt robust.
Tim Pritlove 0:43:38
Ne, ich weiß.
Frank Rieger 0:43:39
Also zwischendurch ist irgendwie mindestens ein ein iPad eher irgendwie hat sich schon länger irgendwie zerbröselt,haben's noch irgendwie so ein bisschen so wie so ein alter Daimler so mit so Teeträgern und so.JaAlso der, wie gesagt, die Forderung daraus, die die wir halt daraus ableiten, ist halt schon zu sagen, okay, wir brauchen halt da äh stärkeren Zindes für irgendwie,bessere Sicherheitsmaßnahmen und wir kommen da halt auch nicht mehr drum rum, weil sonst können wir diesen ganzen Tims auf Singst Quatsch halecht vergessen, wenn's halt irgendwie keine Möglichkeit gibt, ähm dieses Security-Thema halt mit irgendeiner Art von äh Mark Nachdruck und Regulierung zu versehen, die,am Ende effektiv dazu führt, dass es halt besser wird, dann wird's halt nicht gehen. Und ich meine, was da immer so diskutiert wird von wegen Zertifizierung und also was ist halt Quatsch, das wird halt nicht funktionieren, das ist halt so ein geht halt nicht so. Also was halt so der der vor, der,Also der Vorschlag, den wir gerade in der Politik halt auch treiben, ist zu sagen, okay, Schritt eins ist halt Mindesthaltbarkeitsdatum,auf Security Updates angeht, ein Schritt zwei ist, dass wir dahin gehen, dass wir sagen, okay, wir definieren mal einen dynamischenStand der Technik, was Sicherheit angeht für die unterschiedlichen Bereiche,Ja, das war halt einfach eine Strukturschaft, wo halt die Leute aus der Industrie, die halt Ahnung davon haben, die Security Research hat, die Leute aus der Akademie sich einfach zusammensetzen, irgendwie alle zwei Monate oder sowas und halt definieren, okay, für diese klasse Gerät,nehmen wir mal irgendwie Lichtschalter, Heizungssteuerung, was auch immer. Ist hal.Sag mal diese Mindestvoraussetzung so irgendwie minimale Keeling, so minimale Messesellversion. Minimale Version von diesen und jenen Komponenten, so, ne? Also.
Tim Pritlove 0:45:20
Auch Verfahren, ne? Login Verfahren, Two Factor aus.
Frank Rieger 0:45:23
Genau. So, also.
Tim Pritlove 0:45:24
Practice und Standard Practice äh Sachen zu definieren.
Frank Rieger 0:45:27
Die halt einfach mal aufzuschreiben und zu sagen und die halt dynamisch zu halten, also nicht halt mit im Sinne von so com and tridea, alle zwei Jahre irgendwie versuchen wir mal diesen diesen Standard zu updaten, sondern halt so ein dynamischer Prozess, der halt auch bezahlt wird, also für Leute für ihre Zeit bezahlt werdenweil sonst wird's halt nicht passieren. Ähm und beteilige ich halt auch für eine Aufgabe des Staates dafür zu sorgen, dass er diese,Diese Dokumentation gibt und zwar nur als Finanzier und Moderator, nicht als Akteur dabei. Gut, BSI kann sich natürlich klar gerne mit an den Tisch setzen und das halt irgendwie Facilitaten, aber die sollten halt nicht derjenige sein, der halt da die dann halt irgendwie Dinge festlegt und der,wenn man das dann halt einmal hat, dann kann man halt auch hingehen und zum Beispiel über Haftung und Versicherung diskutieren. Ne, dann kann man sagen, okay, für,IT-Systeme bestimmter Größenordnung, wenn die halt irgendwie oder bestimmte Anzahl User oder so, dann sollten die halt dem definierten Anstell der Technik entsprechen,sonst kriegst du keine Haftpflichtversicherung dafür. Oder so. Also da kann man dann halt anfangen, wenn man halt diesen Stand der Technik mal definiert hat und dann einen Prozess für existiert, der sich auch bewährt und der hat sich eingeschliffen hat und irgendwie vorangeht, dann kann man dadurch halt eben auch den Druck erhöhenAlso dann kannst du halt den Druck auf die Hersteller erhöhen, dass sie halt irgendwie in relativ zügigem Tempo,sich auf dem Stand der Dinge bewegen, also möglichst schnell halt dahin kommen, dass das halt Sachen egal update werden.
Tim Pritlove 0:46:47
Und das ist ja auch nichts Neues. Ich meine, wenn man sich anschaut, äh Iso neuntausend äh eins ja, also Qualitätsmanagement äh im im industriellen Ablauf,Das sind ja vergleichbare äh Dinge, ja? Also Prozesse halt nachvollziehbar sein müssen, dass man in der Produktionskette jederzeit schauen kannwomit es da produziert worden, wo woher sind die Materialien gekommen et cetera und wenn man an den an dem Gesamtindustrieablaufsystem teilnehmen will, ist ja diese Zertifizierung. Also der Nachweis von verlässlichen,Produktionsmechanismen innerhalb des Unternehmens erforderlich, um überhaupt daran teilnehmen zu können. Und genauso könnte man ja auch hergehen und sagen,Okay, du möchtest jetzt hier eine eine sprechende Barbie äh in jedes Kinderzimmer legen.
Frank Rieger 0:47:37
Dann dann ist hier die lange Liste von Anforderungen, genau.
Tim Pritlove 0:47:40
Kannst du halt machen, aber dann musst du halt das und das und das und das irgendwie sicherstellenim Bezug auf deine IT Security, muss sicherstellen, dass du irgendwie du weißt, wie du diese Geräte wiederfindest, du kannst auch den Datenschutz natürlich auch genauso sicherstellen, du kannst äh Updates sicherstellen, du kannst ähsozusagen auch sicherstellen, dass dass wenn du wegen eigener Fehler zum Beispiel gezwungen bist, dieses Produkt lahmzulegen, weil's gar nicht mehr anders,ja, dann äh äh auch entsprechend haftbar zu sein, äh Kaufpreiserstattung äh zu machen, Restwert, was auch immer. Das wäre schon äh denkbar, ne.
Frank Rieger 0:48:19
Und also eines der der naheliegenden Themen dazu wäre halt auch zu sagen, okay, es gibt.Also man muss die Hersteller dazu zwingen, dass sie ähm Security-Updates klar von anderen Updates trennen,Trennen wahr machen? Also dass man sagen kann, okay ich kann eine Security-Updates jederzeit bedenkenlos installieren, äh weil ich kein Risiko habe, dass dadurch zum Beispiel Feature Restriction Updates mit reinkommen,wir haben ja häufiger die Situation, dass Leute Updates nicht einspielen.
Tim Pritlove 0:48:52
Wobei man das wahrscheinlich gar nicht so unbedingt jetzt äh garantieren kann, weil ja teilweise auch äh.
Frank Rieger 0:48:57
Klar Features,können halt auch Sicherheitsmaßnahmen sein, das ist richtig, aber trotzdem ist es halt so, dass der dass also eine eine bessere Trennung davon ähm von, also von Feature-Updates und Security-Updates ähm dazu führt, dass ich halt auch das Vertrauen der Leute erhöht. Ne, also dass man halt einfach mehr.
Tim Pritlove 0:49:12
Mhm. Leute sagen, ja, steht Sicherheit drauf, hat einen Stempel.
Frank Rieger 0:49:17
Nee und vor allen Dingen kann ich dann halt einfach auch Security Outdoor-Updates anmachen.
Tim Pritlove 0:49:21
Ja, also verstehe ja.
Frank Rieger 0:49:21
Ist halt so ein, ja, weil das halt so der der Punkte, der halt also so Leute was weiß ich, irgendwie die ähm äh halt hier die Fritzbox sehr stark zum Beispiel, ne? Die haben halt genau dieses Problem. Das halt irgendwie, wenn die halt Security out, also in ihr Hot Update anmachen,steigt halt natürlich die Sicherheit irgendwie durch die gesamte Geräteflotte. Ähm wenn die Leute aber lieber ausmachen, weil sie schon mal dann keine Ahnung keinen Chelsex mehr hatten oder so. Äh den sie halt gerne hatten.
Tim Pritlove 0:49:44
Ja oder sie auch nur überfordert sind von dem neuen User hinter Face.
Frank Rieger 0:49:47
Genau, so und so weiter, na dann dann sinkt halt die Gesamtsicherheit so. Und daraus sortiert halt unter anderem halt aber auch ein ein wichtiger Punkt, den man halt.Also jetzt davon ausgehen, dass,die Dienste und die Polizeibehörden wahrscheinlich nicht aufhören werden zu versuchen das mit diesem Hacking da voranzutreiben und halt irgendwie Explosion Trojaner als Arbeitsmittel zu benutzendann ist die absolute Minimalforderung, die man da stellen muss, ist dass unter gar keinen Umständen Update Fabel als Einschleusungsmittel benutzt werden.Weil in dem Augenblick wurde passiert, ist das Vertrauen in die äh ja in Updates weg.Dann hören die Leute auf Updates anzuspielen und ist der maximale Schaden. Ja, weil dann spielen sie keine Updates mehr und dann sinkt halt die Sicherheit durch die gesamte Flotte.
Tim Pritlove 0:50:36
Also auch ein ein weiterer Grund, warum überhaupt das staatliche Engagement in diesem Bereich einfach grundproblematischist vor allem einfach ein Vertrauensbild, eine so wie korrupte Polizei, ja? Also wenn du irgendwie weißt, dass die dir äh auch anders kommen können, dann gehst du halt gar nicht mehr hin und dann äh.Dann ist ihr vorbei. Spielen wir mal weiterähm und das ist ja in gewisser Hinsicht auch schon eine Überleitung. Jetzt wissen wir ja, dass der unter neuen Administration in den USA ein paar Dinge äh ohnehin etwas exzessiver äh betrieben werden, als sie vielleicht ohnehin schon betrieben worden sind,Klassiker ist beim Eintritt in die USA,dass halt es immer wieder mal berichte davon gibt, dass Leute halt nach ihren Geräten gefragt werden, diese dann teilweise auch weggenommen werden und erst nach äh ein paar Stunden wiedererhalten oder,und am anderen Zeitraum und natürlich auch nicht so richtig wissen, was mit diesen Geräten gemacht werden. Äh wurde in dieser Zwischenzeit. Jetzt gibt's die.Äh nächste Eskalationsstufe, dass man halt jetzt schon Tests fährt mit äh mehr oder weniger automatisierten.Übernahme von Social Media Accounts. Das ist zumindest derzeit das Target. Das heißt, man wird einfach gefragt, so ja hier.
Frank Rieger 0:51:55
Gib mal deinen Facebook Login.
Tim Pritlove 0:51:56
Oder Twitter-Account so äh wir wissen ja, dass du das hast und du brauchst ja irgendwie auch gar nicht erst abstreiten, weil das ja alles viel zu offensichtlich und die acht Stunden, die du hier gerade über den Teich geflogen bist, die haben wir äh gerade genutztum das mal alles auch äh ausführlich darzulegen. Und wenn du dann dagegen bist, dann kannst du auch gleich wieder abhauen. Oder wir setzen dich hier halt einfach mal in irgend so ein Jay.Da ist jetzt von Testläufen die Rede.
Frank Rieger 0:52:22
Genau und und das ist halt eigentlich das, was, was halt einem so ein bisschen ähm,stutzig machen sollte halt eben, dass dass halt dieser Begriff Test ja immer impliziert, dass das geht dann halt noch weiter, ne? Das wird dann halt irgendwie noch mehr,und äh,momentan ist es wohl so, dass die äh die Tests von dieser automatischen Auswirkungssoftware äh die die Dapa da gebaut hat, laufen wohl eher nicht so vielversprechend, also die äh sozusagen, also was die sich ja überlegt haben, war,wir kriegen dann Social Media Account und dann ist da so eine rote grüne gelbe Ampel und irgendwie Posts oder Freunde oder Reiseziele, was auch immer, die irgendwie verdächtig sind, werden automatisch geflecktDas ist wohl noch nicht so weit. Also das heißt jetzt nicht, dass es nicht funktionieren kann, aber das ist halt momentan wohl noch eher so Experimentell so.
Tim Pritlove 0:53:08
Da wird sozusagen noch am passenden Maschinenlearning äh gearbeitet, um Freund und Feind zu finden. Wobei es natürlich ein bisschen absurd ist bei so öffentlichen äh Sachen wie Twitter Accounts, wo man das ja ohnehin schon äh vorher äh ablesen könnte, aber wenn sie Zugriff auf den Account haben wollen,dann wollen sie halt auch die Direktkommunikation haben und äh das ist wahrscheinlich sogar das Haupttagetier. Das heißt, es muss auch gar nicht mal auf Social Media Accounts beschränkt sein. Ähm Prinzip kanneinem dann äh auf der Basis ja jeder beliebige Account äh angefordert werden. Firmenaccounts.
Frank Rieger 0:53:40
Gewöhnt haben, dann werden sie das halt irgendwie schön weitermachen so, ne? Das ist halt so ein und die Zahlen sind ja relativ krass so, was jetzt irgendwie so weggenommene Telefone angeht, also die äh äh.
Tim Pritlove 0:53:51
Hast du da irgendwas parat?
Frank Rieger 0:53:53
Die hatten letztes Jahr, glaube ich, waren es fünftausend.Die vorletztes Jahr waren's fünftausend letzte Jahr fünfhundertfünfundzwanzigtausend und dieses Jahr äh sind sie glaube ich sogar schon drüber oder so, das war jedenfalls tausende von von Vorfällen,trifft halt auch jede Menge Amerikaner interessanterweise, äh die halt irgendwie.
Tim Pritlove 0:54:15
Paar Monate in fremden Ländern waren.
Frank Rieger 0:54:17
Oder arabisch klingenden Namen haben oder Muslims sind. So, also ist halt schon ziemlich klar, so die also der dieser Diskriminierungsansatz, da ist halt der nicht so äh,nicht so stark vertuscht so nach diesem Moslem-Band-Ding wird das ja recht offensichtlich. Und das scheint jeder halt auch ziemlich,Gewalttätig teilweise durchzusetzen, ne? Also halt so, also da gibt da Berichte von körperlicher.Körperliche Empfang des Telefons unter Gewalteinsatzordnungen. Also das war halt äh schon relativ krass. Und die ähm die Frage,Was passiert denn dann mit dem Telefonwenn man das Telefon jetzt äh dann paar Stunden nicht äh nicht sieht, wird es halt nur forensisch ausgelesen oder wird bei der Gelegenheit dann nochmal halt irgendwie so ein äh so ein Implunt aus der Wall-Seven-Tour-Kiste da installiert. Ähm die ist halt nicht zu beantworten,Also es kann man halt eigentlich de facto auch nicht,seriös tun, also äh wenn Leute fragen, okay, ist denn mein Telefon jetzt infiziert, nachdem ich ein paar Stunden halt irgendwie in staatlicher Kontrolle hatte.Kann man Jörg beantworten, weil die Techniken um halt so ähm,ja, Trojaner auf so einem Telefon zu verbergen, äh sind halt ziemlich vielfältig und man kann auch nicht davon ausgehen, dass man die alle findet oder wenn man zum Beispiel ein Notebook hat, ne? Also Notebook.Ähm hat ja relativ viele verschiedene Softwareebenen, ähm relativ niedrige davon, ist es auf DEFI, also ist halt der äh der Teil der Frömer Bios hieß.
Tim Pritlove 0:55:49
Also das, was aktiv wird, wenn man das Gerät einschaltet er.
Frank Rieger 0:55:51
Genau, also zusammen bevor das Betriebssystem hochkommt, gibt's ja da schon so ein Minibetriebssystem. Mhm. Und fürfür Efi finden sich in diesem Waldseven Ding halt jede Menge Sachen, ne? Also da haben die richtig ausführliche wie werden wir dann auf dieser Plattform und in dieser Version Resident und wie können wir dann halt irgendwie eine Infektion machen, die halt im Flash ist, die dann halt egal ob der Betriebssystem neu installiertwieder Sachen, also wieder die Infektion wieder herstellt und die Kontrolle übers Gerät wiederherstellt. Ähm und so, also und.Das ist halt auch sehr schwer das zu finden. Also Intel hat jetzt halt für die äh für bestimmte Chips als Serien haben die ein Tool veröffentlicht äh um zu verifizieren, dass,Efi-Version im Flash.Der die vom Hersteller intendiert ist, also mit der aus dem letzten Effi-Firma-Update übereinstimmt so, also da gibt's halt noch so einen Verification-Mechanismus. Ähm aber ob der nicht auch wieder explodar ist, wissen wir auch nicht, ne? Also das ist halt so eine.
Tim Pritlove 0:56:48
Oder ob nicht schon Software drin ist, die sich dagegen wehrt, solche Abfragen überhaupt äh zu machen, einfach andere Werte liefert als gefragt wurden und.
Frank Rieger 0:56:56
Also de facto müssen wir davon ausgehen, wenn da ein elektronisches Gerät,physische Kontrolle eines Angreifers war, eines potenziellen Angreifers und letzte muss man nun leider halt auch mal irgendwie die äh die Dienste da zählen, dann ähm kannst du es eigentlich gleich eBay und halt irgendwie dir ein neues holen.
Tim Pritlove 0:57:13
Wegwerfhandys.
Frank Rieger 0:57:16
Ja, na ja gut, ich meine, das machen ja mittlerweile viele Leute, die halt irgendwie nach Amiland fahren, dass sie halt einfach nur irgendwie so ein, so ein Urhalt iPhone oder so mitnehmen oder einfach noch so ein, so ein, so ein zehn Euro Feature vor und halt so, ja.
Tim Pritlove 0:57:24
Ja. Mhm.
Frank Rieger 0:57:26
Weil sie halt sagen, okay, ist halt, wenn's halt dann irgendwie nicht mehr in meiner Hosentasche war, sondern bei denen, dann kann ich's halt direkt nehmen und.
Tim Pritlove 0:57:34
Wegschmeißen. Mit Wegwerfsym.
Frank Rieger 0:57:35
Meine meine Empfehlung ist ja dann ähm solche Telefone nicht wegzuwerfen, ähm sondern sie einfach an Obdachlose zu verschenken.
Tim Pritlove 0:57:46
Auch eine Idee oder irgendeinem Security-Unternehmen zu spenden, um mal zu schauen, was äh.
Frank Rieger 0:57:52
Ganz ehrlich, das ist halt so ein Aufwand, den macht sich niemand. Ne, also das ist halt so, also egal, Telefonforellensieg ist halt ein sehr undankbares Spiel und ähm kann man machen, aber es war gerade so eine iPhone, also wo man iPhone zum Beispiel voransiegt zu machen, ist halt wirklich.Extrem hoher Aufwand. So und das äh also diese Frage, ob man,Also ob jetzt da was infiziert wurde oder ob was da installiert worden so kann man beantworten, wenn der Angreifer geschlampt hat. So, also wenn da halt irgendwie Hinweise zu finden sind, also wir hätten jetzt gerade gab's ja so eine Geschichte, dass.Äh irgend so ein äh möchtegern Anbieter im Bereich dieser Staatstrojaner, die auch ihren Firmennamen im Bild drinnen,äh äh Links aus diesen internen Systemen drin mit den Firmennamen war sehr amüsant. Ähm also wenn die Schlampen klar, dann kann man halt äh kann man halt was sehen, aber ansonsten,ist es sehr schwer. Also.
Tim Pritlove 0:58:49
Klingt so ein bisschen, als dürfte man überhaupt gar keine Geräte mehr mit in die USA reinnehmen. Also wenn man da mit dem Computer arbeiten will, muss man sich eigentlich vor Ort noch einen neuen kaufen und den dann äh Remote neu aufsetzen, um wirklich sicher zu gehen.
Frank Rieger 0:59:00
Das wird vermutlich darauf hinauslaufen, dass man solche Spielt ja? Das hat's irgendwie so.
Tim Pritlove 0:59:06
Sehr absolut und zu mutbar.
Frank Rieger 0:59:09
War letzten Endes immer, dass halt Leute, die ähm die halt einen beruflichen bisschen höhere Sicherheitsanforderungen haben, machen das ja jetzt schon, ne? Also die,aber das hat äh also tatsächlich kann man ja mit für jeden USA Trip halt nochmal die Kosten für NZ neue Hardware kann man schon mal dazurechnen, ja.
Tim Pritlove 0:59:28
Ja, das sind die Probleme äh mit dem äh Direktzugriff ähmaber mittlerweile haben wir ja noch ganz andere Probleme, in denen wir Zeit äh man sich sozusagen die Spionage äh Geräte einfach schon mal selber ins Haus holt. Die grundsätzlichen Probleme mit Internet of Things haben wir ja schon äh angesprochen in dem Moment, wo jede Lampejedes Schloss, jedes was auch immer gerät, was in irgendeiner Form.Automatisierbar ist eben durch kleine Elektronik, die vernetzt ist, bestückt wird, schafft das natürlich einfach Angriffspunkte ohne EndeAber ganz so dramatisch muss man bei uns noch nicht mal sehen, also selbst bei den Standardprodukten, die nur genau das tun, was sie eigentlich tun sollen, ist schon schwierig und jetzt gab's diesen Fallmit dem wie nennt man diese Geräte eigentlich? Sprachassistent. Finde das Wort furchtbarAlso Amt ist will konkret von Amazon Alexa, es gibt ja da verschiedene äh Google Home, ist ein ähnliches Gerät.
Frank Rieger 1:00:31
VPA Virtual Private Assistent. Oder Virtual Personal Assistent.
Tim Pritlove 1:00:35
Aha. Also soll dir, soll dir persönlich assistieren, aber nur scheinbar, nicht wirklich.
Frank Rieger 1:00:42
Also es ist, man kann es sich eigentlich besser vorstellen, als sozusagen, wenn man sich die Cloud als so ein so ein Spaghettimonster vorstellt, ja. Denn das äh sozusagen dieses Alexa ist die Tentakel von diesem Spaghettimonster in deinem Wohnzimmer.
Tim Pritlove 1:00:57
Gibt's natürlich jetzt viele Leute, die sagen so, ach ja, na ja, das kann man ja auch alles abschalten, dass man da nichts kaufen kann und überhaupt und was äh kann schon passieren. Jetzt gab's diesen Fall, äh ich habe mir jetzt den Fall selber nicht genau angeschaut, aber da ist halt jemand in äh seiner Badewanneaufgefunden worden und sein Mitbewohner ist wohl verdächtigt worden. Für seinen Tod gesorgt zu haben,ein bisschen äh her, nämlich November zwanzig fünfzehn, trotzdem hatte dieser Haushalt bereits ein Amazon ein,Eco äh Gerät ähm.Also Equa ist ja das Device, Alexa heißt die mit diesem Gerät äh simulierte äh virtuelle Persönlichkeit und.Ja, nun kam das Gericht auf die tolle Idee. Äh man könne doch mal bei Amazon nachfragen, obdenn nicht im Rahmen der ohnehin permanent durchgeführten Audioaufzeichnung bei Amazon nicht irgendwelche Daten äh zu finden werden, die unter Umständen auf einen ja, eine Aufklärung dieses Tötungsdeliktes hinweisen können. Da haben sich dann anfangs der,Mensch, also der Beschuldigte als auch Amazon selber dagegen gewehrt. Mittlerweile gibt aber Amazon diese Daten.Weil der Beklagte selber dem zugestimmt hat.Also die haben sich halt jetzt so äh geeinigt, was da jetzt der Hintergrund war, kann ich jetzt nehmen, die nicht so richtig sagen. Äh der Fall äh läuft ja auch noch. Ähm ob da jetzt auch so viel draus zu gewinnen ist, weiß ich nicht. Nur man muss sich halt einfach mal klar seinhier ist ein Gerät, dessen Aufgabe es ist dir die ganze Zeit zuzuhören für den Fall, dass du es ansprichst.Und das bedeutet, dass im Prinzip die ganze Zeit recordet werden muss. Jetzt muss man ja nicht gleich einen Aluhut aufsitzen und die größtmögliche Verschwörung sich dazu denken. Hier können auch Softwarefehler äh bei Amazon, jaDaten werden nicht gelöscht et cetera, sowie dasauch schon mal hatte, da mit seinem WLAN-Capcharm, als sie da durch die Straßen gefahren sind, ähm beziehungsweise eben auch die Übernahme äh dieses Geräts aus der Fremde durch entsprechende Malware äh könnte halt dazu führen, dass eben dieser äh Rekorder,permanent läuft. Aber was natürlich jetzt auch ein rechtliches Problem.
Frank Rieger 1:03:13
Gerne und vor allen Dingen auch einen einen Vertrauensproblem, ne? Also ich meine, das ist halt so die, also Amazon sagt ja selber, so eigentlich wird nur äh angefangen zu streamen, wenn halt das Keyword getected wird und das Keyword, also Eleks, Alexa oder wir hauen einen dAssistenten wird ja lokal detektiert. Ähm.Wenn man so ein so ein, so ein Echo aufschraubt, ganz interessant eigentlich, da steckt halt ein richtig fetter, digitaler Signalprozessor drin, ähm der das Signal von sieben oder acht Mikrofonen, die da so oben im Kreis sind,ähm aufnimmt,und auch die Richtung aus der Signal kommt direktiert. Also man sieht es ja daran, wenn man anfängt mit dem Ding zu sprechen, denn oben der LED-Kreis geht dann dahin,wo der Sprecher ist. Also sagt einem so, ich ich höre also sein quasi ich höre dich Signal. Und äh eigentlich sollte die,und damit halt irgendwie die Verarbeitung in der Cloud dann halt erst passieren, wenn das Keyword äh Keyword gesagt wird, so, ne? Und.Zumindest nach dem, wo wir halt jetzt irgendwie mal irgendwie mal kurz einen Weiherschlag irgendwie rangehalten haben an so ein Echozumindest in der Version, die wir da vor der Nase hatten, auch so zu sein, ob das nach dem nächsten Softwareoptik immer noch so ist und ob das früher mal anders war und ob es vielleichtKeine Ahnung, auch von der Hardware bei Sonne abhängig oder so, wissen wir nicht,keine Ahnung. Also ist halt äh also vielleicht hatten sie damals halt zum Beispiel auch die Keyword Detection noch nicht im Griff und haben die Keyword Detection auch in der Cloud gemacht,wäre auch eine Option, dass sie halt einfach direkt alles in die Cloud streamen, weil sie halt nicht äh damals halt noch nicht die Keyword Detection halt hatten so.Selbst dann äh also selbst wenn man sagt, okay, der geht halt nur mit Keyword Detection an. Äh findet eigentlich inakzeptabel. So, also das ist halt irgendwie so ein,ich will eigentlich nicht, dass da irgendwie nur weil ich ein Wort sage, was ich möglicherweise auch mal zufällig sage, dann plötzlich angefangen wird, möglicherweise und zwar auch ohne Zustimmung der anderen Teilnehmer in dem Raum halt irgendwie da das Audi nach draußen zu streamen.
Tim Pritlove 1:05:08
Ja vor allem wenn man sich jetzt mal die die nächste Eskalationsstufe äh denkt, ja, sagen wir mal, hier wird jetzt nichts gefunden, et ceteraaber äh du hast halt eine entsprechende äh Dichte. Es gibt ja jetzt auch Berichte von Hotels, die jetzt äh massenhaft dieseTeile direkt in ihre Zimmer einbauen wollen, so als Fernstau, mach mal Fernseher an, mach mal Gardinen zu, et cetera, Licht aus,macht ja aus Sicht der Hotels äh zunächst einmal äh Sinn, solche äh schönen Fernbedienungen bereitzustellen. Nur in dem Moment hat man halt äh ein,aus dem Internet überwachbares äh äh Mikrofon im Gerät äh im im Zimmer stehen und was ist, wenn halt die nächste äh Gerichtsanweisung heißt.Ihr habt da eine direkte Verbindung zu diesem Customer, der wird jetzt verdichtet äh XY zu machen. Ähm,mach mal Mikro an. So, ne? Und das wäre natürlich in dem Moment, wo Amazon quasi generell dazu gezwungen wird und dann mit entsprechender Gagorder äh noch nicht mal was darüber sagen darf. Schon mal hochproblematisch,Man muss natürlich dazu sagen, in dem Moment, wo diese kriminelle Energie da ist, ist es wahrscheinlich sehr viel einfacher, äh selber einfach so ein kleines Teil mit Mikrofon, was noch deutlich weniger auffällig ist äh in diese.
Frank Rieger 1:06:25
Na ja, bl.
Tim Pritlove 1:06:26
Räume zu bringen. Ähm ja, also.
Frank Rieger 1:06:28
Also wir haben ja dann tatsächlich ein interessantes Beispiel, nämlich ähm AutosÄh in Autos ist es ja so, dass äh dass so Wolfskontrollgeschichten ja schon sehr viel länger unterwegs sind, äh weil da machen sie auch Sinn, weil du bist halt in einem relativ begrenzten Raum. Du kannst deine Hände nicht benutzen. Ähm also.
Tim Pritlove 1:06:45
Akustik.
Frank Rieger 1:06:46
Definiert Akustik, so kannst die Mikrofone optimal anbringen zum äh zum Fahrer.Und da gibt's ja schon länger so äh so Audio äh Geschichten. Und tatsächlich ist es aber auch so, dass äh die auch von staatlichen Stellen, also von von Ermittlungsbehörden und vom Geheimdiensten,extrem gerne als Wanz genutzt werden,tatsächlich so ein Auto zu verwanzen, machen die mittlerweile per Software. Also wenn halt irgendwie so ein etwas dickeres Auto hast, was halt irgendwie so was Control Features eingebaut hat.Und sei es halt auch nur irgendwie um der Navigation halt die Adresse zu sagen, dann ist die per Software, also per kleinem Softwareupdate.Zu einer Wand zu machen, äh umbaubar. Und die Dinger haben ja mittlerweile auch alle Mobiltelefone eingebaut und,so ein Auto zu verwanzen, wird, wenn's halt irgendwie ein halbwegs modernes Modell ist, eben nicht mehr mit, irgendwie muss man dieses Auto irgendwie aufbrechen und dann da irgendwie die Wand so irgendwie in den Himmel fummeln und noch irgendwo die Kabel verbargen und die Stromversorgung für die Wanze halt irgendwo noch irgendwie herkriegen und so weiter und so fort. Und dann auch irgendwie für den Ablenk sorgen, sondern die machen halt einfach ein Softwareupdate, weil die Wanze ist bereits eingebaut,So und wenn das halt in so modernen, ausgestatteten Gebäuden genauso wird,dann ist abhören tatsächlich ein Softwareupdate auf den italienischen Room Controller. Nichts weiter und ist sehr viel weniger aufwendig als.
Tim Pritlove 1:08:03
Der feuchte Trommelstalsie, oder? Also.
Frank Rieger 1:08:05
Als eine Wand zu einbauen, ja. So, also das ist halt so ein und also deswegen ist halt so auch noch so eine Forderung, die wir halt haben, irgendwie Device Allroom Contents Mikrofon. Will ich halt eigentlich als Dicker haben. Und zwar wo und ein Hardware-Abschalter dafür.So, weil ich meine mittlerweile brauche nie Mikrofone an an Stellen ein, wo du sie überhaupt nicht mehr erwartest, ja.
Tim Pritlove 1:08:27
Ja, gab's zum Beispiel äh viel Aufregung, um diese Fernsteuerbahn Stromschalter von der Fritzbox, die ihr da überdeckt angeschlossen sind, dass da halt auch ein Mikrofon ist, haben sich halt alle gleich furchtbar aufgeregt, AVM sagt.Gemacht, gemacht, gemacht, das ist jetzt kein richtiger äh DA-Wander, sondern wir wollen hier maximal klatschen miterkennen.Mag so sein, ja, kann man's überprüfen, hm, gibt's da einen Prozess, gibt's da äh eine Bestätigung, alles schwierig.
Frank Rieger 1:08:54
Und ich meine und so so Smart TVs. Ja, also Fernseher.
Tim Pritlove 1:09:00
Die ja auch in dem Waldseven League nochmal explizit genannt worden sind.
Frank Rieger 1:09:03
Mit dem schönen Quotener Weeping Angel, also weinten der Engel.Ähm,und äh äh die haben die halt, da haben die halt sich die, die Impfens für gebaut, so, also dass man halt einfach in der Lage ist, über einen Softwareupdite, in dem Augenblick, gerade was noch ein physisches Update, also USB-Stick reinstecken,den den Fernseher zur Wanze zu machen und äh,werden die halt für alle Geräte entwickeln, nur ein Mikrofon drin ist. Das ist halt vollkommen klar. Also das ist halt einfach so der äh wenn wenn eines ihrer Tageszeit so.So Geräte hat, dann werden die Ritter halt einbauen,und äh deswegen ist halt so der, also zumindest eine klare Kennzeichnung, wie da ist ein Mikrofon drin und wie kriegt man's da raus oder aus?Finde ich also 'ne unabdingbare Forderung. So, also genauso wie Kameras, ja? Also ist halt so 'nMittlerweile sind wir halt langsam soweit, dass wir halt irgendwie alle mal irgendwie so einen vor unseren Laptop-Kameras halt irgendwie so äh so eine kleine Blende haben, weil äh sich dann doch rausgestellt hat, dass es halt viel zu einfach ist, die zu hacken, ohne dass die die LED da angehtund ähm Mikrofone ist eigentlich der klar der nächste Schritt zu. Also es ist eigentlich nicht einzusehen, dass man den dann so einfach macht.
Tim Pritlove 1:10:19
Ja, also das äh wird auf jeden Fall Begehrlichkeiten schaffen und da sind wir im Prinzip schon wieder am Anfang, dass äh auch hier eigentlich die Unternehmen,jaIhnen eigentlich eher geholfen werden muss, hier auch ein richtiges Statement zu machen. Also Sitnote in diesem ähm Mordfall.Die äh abgesehen von diesem vernetzten Lautsprecher äh haben die Ermittler äh auch die vernetzten Wasserzähler, die sich in diesem Haus auch schon befunden haben, äh auch noch äh gleich ausgelesenund äh quasi den Wasserverbrauch an dem Tag äh.Festgestellt, der wohl auch mit fünfhundertdreißig Litern nachts zwischen eins und drei auch vergleichsweise hoch äh gewesen sein soll.
Frank Rieger 1:11:05
Da wollte jemand wohl viel Wasser verbrauchen.
Tim Pritlove 1:11:08
Da wurde auf jeden Fall viel Wasser gebrochen, ob da jetzt nur Diaro äh äh angesagt war und die ganze Zeit die Klospülung betätigt wurde oder halt tatsächlich die Badewanne äh äh mehrfach vollgemacht wurde, aus welchen Gründen auch immer, man weiß es nichtÄhmaber das ist ja sozusagen jetzt noch so nicht erwähnt, ne? Also teilweise ist es ja eine eigene Entscheidung, kaufe ich mir äh Dollar Produkt von Dollar Firma äh und und hole mir quasi das Mikrofon unter die Kamera ins Hausaber durch vernetzte Stromzähler und auslesbare ähm ja energieerfassungähm gibt's natürlich weitere Nutzungsprofile des Eigenheims, dieganze Menge über das eigene äh Leben aussagen, wann man aktiv ist, wann man überhaupt da ist, was man auch konkret tut et cetera unddas sind natürlich schon die Bedrohlichkeiten für die nächste Phase.
Frank Rieger 1:12:00
Ähm also die Frage, welches Gerät wird denn zum Verräter? Ne, also wie viel Vertrauen äh.
Tim Pritlove 1:12:10
Wer ist das Judas Gerät.
Frank Rieger 1:12:12
Naja und also hört einem auf dem Fernseher halt nur irgendwie der Hersteller des Fernsehers und seine Werbepartner zu oder auch noch irgendwie diese oder jene Geheimdienst. Ist halt eine,Na ja so eine Frage, die halt schon vertrauend äh Vertrauensprobleme äh erzeugt. Also die,denke mal so die Industrie ist halt da durchaus auch gefordert halt irgendwie sich darüber Gedanken zu machen welche,Aussagen zur Vertrauenswürdigkeit ihrer Geräte sie eigentlich treffen möchte. Also was irgendwie so ihre Ansage dazu ist, wem das Gerät jetzt eigentlich gehört, so ob ähsieht eigentlich davon ausgeht, dass der die Daten des Jusos sowieso frei wird sind, dann kann man auch gleich eine Geheimdienststelle einbauen oder ob man sagt, okay, äh wir kennen halt Privatsphäre als irgendwie ein einen Kundenwunsch an, ja?
Tim Pritlove 1:13:04
Na ja, schauen wir doch mal äh wie es unsere Bundesregierung denn so äh hält mit der Frage der äh VideoüberwachungDa war ja eine Verbesserung angekündigt worden. Das ist doch sehr schön. Man freut sich ja immer, wenn man sowas aus den äh Nachrichten zur Kenntnis nimmt. Das Videoüberwachung, Verbesserungsgesetz,meiner Meinung nach einfach schon mal der der Kandidat für das Legislative Unwort des Jahres.
Frank Rieger 1:13:30
Ja. Das ähm also das Gesetz äh enthält ja so drei Teile. Das eine ist ähm.
Tim Pritlove 1:13:35
Das wurde jetzt beschlossen, das soll äh.
Frank Rieger 1:13:37
Lesung beschlossen, ja.
Tim Pritlove 1:13:40
Ja. Wir haben das hier auch schon in einer der früheren Sendungen schon mal durchgekaut. Äh jetzt äh hat der Bundestag gesagt, ja passt.
Frank Rieger 1:13:51
Genau. Ähm im Moment welche Wände war das jetzt hier? Genau, also da da ging's halt ähm,Also da gab's ja mehrere mehrere Dinge, die halt äh äh beschlossen wurden. Das eine ist halt, dass halt irgendwie mehr ähm ja mehr Kameras in öffentlich zugänglichen Anlagen angebracht werden dürfen. Ähm.Um halt einfach sagen wir mal so Menschenansammlung äh zu äh zu überwachen, dann äh haben sie beschlossen, dass Bodycams für den äh für die Bundespolizei äh möglich sind.Und zwar richtig viele, also die haben dann Etat von vier Millionen für eingestellt, das als also glaube ich.
Tim Pritlove 1:14:33
Viele Polizisten, nicht viele Kameras. Also auch viele Kamer.
Frank Rieger 1:14:36
Viele Kameras auf vielen Polizisten, genau. Ja, ja.
Tim Pritlove 1:14:38
Aber nicht so viele äh also nur eine Polizist in der Regel, ja.
Frank Rieger 1:14:41
Eine Frau, wir sind, also wir sind noch nicht bei, also wir hätten aber es dunkel irgendwie in Charles Stross war's glaube ich der erste, der halt irgendwie Evidence Camps irgendwie in in der Seife relativ ausführlich drin hatte.
Tim Pritlove 1:14:51
Wir reden immer noch von den Frontkameras, die so an der Brust.
Frank Rieger 1:14:54
Hier so auf der Schulter. Als.
Tim Pritlove 1:14:55
Schon Domkameras.
Frank Rieger 1:14:56
So eine so eine kleine Stiftkamera, die hier so auf der Schulter nach vorne zeigt, genau. Undähm äh also zumindest so wie es im Gesetz steht, ist die die Idee dabei, dass sie sagen, okay, sie rekord noch eine Loop, also halt eine gibt eine Endlosschleife, in der Recorders wird und wenn der Beamte dann auf äh ich will jetzt aber drückt, dannwird diese Speichel wird die Schleife weggespeichert, so dass man halt also irgendwie irgendwas zwischen dreißig Sekunden und drei Minuten, je nachdem wie es eingestellt ist.
Tim Pritlove 1:15:20
Also Loop heißt in dem Moment, wo ich draufdrücke, habe ich auch unter Bestand schon die dreißig Sekunden davor.
Frank Rieger 1:15:24
Genau oder drei Minuten.
Tim Pritlove 1:15:25
Auch wenn du drei Minuten davor, das heißt, wenn man merkt so, hier entwickelt sich eine Situation. Jetzt ist auch was passiert, dann ist es im Prinzip schon gefilmt. Es würde halt nur gelöscht werden, wenn man eben nicht sagt, behalte das mal bei.
Frank Rieger 1:15:37
Genau und dann wird's halt in den gibt's in den Langzeitspeichern, dann kann's angeblich zumindest nach Gesetz nur vom Vorgesetzten des äh Beamten, also vom dann halt dem Wachführer oder was auch immer, wie äh als irgendwie gelöscht markiert werden. Ähm,und die äh.Also und dann gibt's noch so ein paar Regeln unter welchen Umständen halt diese äh diese Aufnahmen halt verwendet werden, also irgendwie Nachweis von Straftaten äh,Angriff auf Beamte natürlich, ähm aber man kann halt auch als Bürger sagen so, hier,Ich hätte gerne diese Aufnahmebeweis gesichert, weil ich würde gerne Anzeige in diesem Namen stellen. Und ichBin da so ein bisschen zwiegespalten, ne? Also einerseits ist es halt so, dass wir halt ja schon einen relativ großes Problem halten mit Gewalt durch Polizisten haben so unddie Erfahrung aus Städten wo diese Bodycams verwendet werden ist, dass,sowohl die Gewalt von Polizisten gegen Bürger, als auch die Gewalt von Bürger gegen Polizisten zurückgeht, wenn halt diese Bodycams da im Einsatz sindes gibt allerdings auch Fälle beziehungsweise Städte wo es halt so ist dass durch die Regeln zum Einsatz dieser Bodycams das halt eher einseitig ist also wenn die Polizisten halt relativ einfach löschen können oder beziehungsweise die Durchführungsbestimmungen halt so sind, dass es halt irgendwienichtJa, also im Zweifel der Bürger halt immer das Problem hat, weil's dann halt zufällig gerade keine Aufzeichnungen gibt, wenn er halt irgendwie von der Polizei verprügelt wurde. Ähm dat hilft natürlich dann halt auch nicht so. Und deswegen bin ich da so ein bisschen zwiegespalten ähm,die de facto führt halt wieder dazu, dass halt noch mehr öffentlicher Raum halt irgendwie eine eine Aufzeichnung unzuliegt so und.Die Frage wann denn halt diese Bodycams eskaliert werden zu Livestreaming? So ne, also das halt irgendwie alle diese Kameras irgendwie gleich live auf 'ne Zentrale gestreamt werden.Weil ist ja besser, ne?
Tim Pritlove 1:17:29
Wegen der Sicherheit.
Frank Rieger 1:17:31
Hängt halt dann nur noch vom, ja, vom Roller der fünf G-Netze ab am Ende, ne? Weil die halt natürlich die entsprechende Kapazität bereitstellen müssen dafür.
Tim Pritlove 1:17:38
Wie lange es dann noch dauert, bis die Kameras dann auch noch gehackt werden.
Frank Rieger 1:17:42
Genau, das äh wenn die dann online sind, dann wird sicherlich interessant.
Tim Pritlove 1:17:45
Das könnte natürlich ein interessanter Feed werden, wenn man sich sozusagen so die ganzen Polizisten live so im Internet klicken kann.
Frank Rieger 1:17:49
Mhm. Genau.
Tim Pritlove 1:17:52
Polizisten hätten sie gern.
Frank Rieger 1:17:53
Ja. Na ja, wir sagen das heute noch, ne? Also ich meine in fünf Jahren ist es so, also ich meine ja fünf G Rollo.
Tim Pritlove 1:17:58
Ja. Und kannst schon mal anfangen zu kichern.
Frank Rieger 1:18:02
Glaube ich, zwanzig, zwanzig, zwanzig, einundzwanzig, also ist nicht mehr lange hin.
Tim Pritlove 1:18:06
Jahr und dann so mit zehn, zwanzig Gigabit äh pro Device ähm also da geht so einiges,Das muss man sich auch mal klar machen, ne, dass diese ganzen Limitierungen, die derzeit teilweise noch greifen und was fluchen wir nicht alles, weil wir nur noch irgendwie Edgeland haben und soKlar, ist alles doof, ja? Es wird anders werden, es wirdenorm werden und wir werden im Prinzip eine eine Echtzeitvollvernetzung der Welt, zumindest in urbanen Räumen einfach haben in zehn Jahren,und das ermöglicht natürlich ganz andere Zugriffe. Nicht nur, was die Überwachung betrifft, ne? Auch natürlich was äh kriminelle Energien betrifft, sicherlich auch, was,Die guten Dinge und die unterhaltsamen Sachen äh betrifft nur es ist auch künftig wichtig zwischen Chancen und Risiken abzuwägen.Wir wiederholen uns da so ein bisschen die letzten dreißig Jahr.
Frank Rieger 1:18:58
Bisschen. Ja.
Tim Pritlove 1:19:02
Ja, was ich ist zum Verbesserungsgesetz äh sagt, das sind drei äh Komponenten.
Frank Rieger 1:19:08
Ja, ach so, der der dritte Teil ist noch ähm die äh Flächen in den Kennzeichenerfassung. Ähm,gibt's halt auch noch, das heißt also, dass halt der äh äh BGS, also Bundespolizei inGrenznähe, also was glaube ich, als hundert Kilometer von der Grenze definiert istjetzt mehr oder minder anders loskennzeichen Überwachung machen darf, äh, sie sollen nicht flächendeckend sein, sagen sie immerhin, das heißt also, sie werden halt also noch nicht Flächendecken ganz da eben gerne an den Autobahnbrücken haben, aber de facto ist dann halt die Anzahl der der Kennzeichen Scangeräte, die äh gekauft werdendarüber entscheiden, wie flächendeckend diese Überwachung sein wird. Also ist halt äh worum es da halt geht, ist das halt live geguckt wird, äh nach welchem KFZ-Kennzeichen wird denn gefahndet.
Tim Pritlove 1:19:52
Das bedeutet ja dann im Prinzip auch, dass äh ich das richtig sehe, dass die bereits existierenden KFZ äh Scanner, nämlich die festinstallierten auf den äh Autobahnmautbrücken, dann ja im Prinzip in Grenznähe einfach mal so benutzt werden könnten.
Frank Rieger 1:20:06
Na da steht das Mautgesetz noch dagegen. Das das sagt der explizit, dass die nicht so sein darf,gab's da auch so ein paar Aufweichungen, aber also jetzt bei dem Gesetz ging's erstmal primär um mobile Geräte, aber klar ist halt, wo der Weg hingeht, ne? Also die versuchen halt möglichst,irgendwann dahin zu kommen, also zumindest an den Grenzübergängen und dahinter halt irgendwie äh jedes KFZ fast ein und auswärts gehen. Also da wird es klar so die,äh ja, der das Ziel der der ganzen Operation, dass sie da in innerhalb kürzester Zeit hinkommen, dass man halt keinen, also keine Grenzen mehr passieren kann, auch nichts in Schenken starten, ohne dass das KFZ-Kennzeichner fast wird.
Tim Pritlove 1:20:45
Ja, eine umfangreiche Verbesserung.
Frank Rieger 1:20:48
Ja, das äh sehr viel besser jetzt alles.
Tim Pritlove 1:20:50
Ja Frank. Ich würde sagen, haben wir jetzt immer äh auch schon am Ende angekommen hier unserer kleinen Sendung.
Frank Rieger 1:21:00
Tim.
Tim Pritlove 1:21:02
Sitzt sonst noch irgendwelche.
Frank Rieger 1:21:04
Stellt sich noch die Frage, ob du mit der CIA verbunden bist, Tim.
Tim Pritlove 1:21:06
Oder unsere Hörer also na ja weil die sagen ja auch schon die ganze Zeit nichts.
Frank Rieger 1:21:10
Unsere Hörer. Genau, seid ihr mit der Serie verbunden? Ja. Die sagen nichts, genaues verdächtigte. Die machen nicht mal die machen nicht mal bei dem. Das ist sehr, sehr verdicht.
Tim Pritlove 1:21:18
Horn, vielen Dank.Ja und vielen Dank fürs Zuhören. Ähm kommt wahrscheinlich nochmal eine Sendung ähm bevor der Dinos wieder da ist. Bis dahin sage ich erstmal tschüss und bis bald.
Frank Rieger 1:21:34
Tschüs.
Shownotes
Vault7
- WikiLeaks: Vault 7: CIA Hacking Tools Revealed
- Vault7: Fine Dining Case Officer Toolset
- WikiLeaks: Die CIA kann jedes Telefon hacken, aber nicht gleichzeitig
- Spiegel Online: Neue WikiLeaks-Enthüllungen: CIA-Hacker spionieren offenbar von Frankfurt aus
- Wikipedia: Jira
- Wikipedia: Tailored Access Operation
Geräte- und Accountuntersuchung an der US-Grenze
Amazon liefert Echo-Daten ans Gericht
- BBC: Amazon hands over Echo ‘murder’ data
- heise online: Ermittlungen zu mutmaßlichem Mord: Amazon händigt Alexa-Aufnahmen aus
Bundestag genehmigt Ausbau der Videoüberwachung
- heise online: Bundestag genehmigt Ausbau der Videoüberwachung
Es ist hier ja besonders schön, dass Frank nicht nur Sprecher vom CCC ist, sondern auch als Geschäftsführer mit gutem Beispiel vorangehen kann und realitätsnah den Stand der Technik definieren sowie das Update-Versprechen umsetzen kann!
Guter Punkt. Was ist das MHD für ein Cryptophone? Wie lange gibt es da Sicherheitsupdates?
wenn dann zur obsoleszenz noch eine Verpflichtung kommt einen updatepfad am Ende für „externe“ / die Nutzenden aufzumachen, bzw. mind. die Schnittstellen offenzulegen, dann macht das auch Sinn. Dann könnte x nach 3 Jahren sich selber um updates bemühen, wenn die Firma das nicht tun will. Diese Pflicht schliesst konkurs gegangene Firmen oder Missestäter ein. Dazu müsste eventuell der Source/ die Schnittstelle dokumentiert an zentraler Stelle hinterlegt werden, und das wäre dann schon wieder ein saurer Apfel. In den ich beissen würd‘.
Warum gibt es keinen IT Anbieter für normale user in ganz Europa, der bei seinen Systemen erste Priorität auf Sicherheit legt. Das ist ja nicht nur eine Marktlücke, das ist der größte Marktplatz ever. Die Kompetzenz ist ja vorhanden. Warum passiert da so wenig. Ich hab ein wenig das Gefühl, ihr gefallt euch darin, durch die Welt zu laufen und Probleme zu erklären oder zu fixen, von denen ihr in der Lage wäret, sie gar nicht erst aufkommen zu lassen. Stelle ich mir das zu einfach vor? Bestimmt. Aber wäre die Richtung nicht die richtige?
Irgendetwas muss hier ja nicht ganz stimmen. LG und Samsung haben monatliche Updates – allerdings konnte ich das nicht hier nachvollziehen.
Entweder es kümmert sie nicht wegen zu geringer Nachfrage/Bedeutung oder es muss (gut gemeinte) regulatorische Hemmnisse geben wie z.B. eine mögliche externe Zertifizierung der Updates.
Wenn jemand hier sich auskennt: Danke für eventuelle Aufklärung darüber!
embedded development branch hat sich offensichtlich gekümmert:
„found configuration file and setting that manages automatic updates. […] added feature to prevent updates“
https://wikileaks.org/ciav7p1/cms/page_12353643.html
anfängerfehler sind bei so einer organisation nicht zu erwarten.
.~.
Ah, OK. Ich hätte erwartet, dass sie das dann schnellstmöglich patchen, damit niemand sonst kompromittieren kann. Wenn man da mal rüberscrollt, scheinen die eher zielorientiert/quick and dirty zu sein.
~1:08:25
bauen die Mikrofone an Stellen ein , wo du sie gar nicht mehr erwartest ..
wie siehts denn eigtl. insofern mit den Feuermelder aus ?
Immer wenn da sowas Verpflichtendes kommt, frag ich mich cui bono..
Und nach allem was so los ist, nehm ich ihnen die Geschichte mit dem rein fürsorglichen Aspekt nicht ab (klar, Konjunktur-Programm kommt auch noch dazu.. für China.. ) .
So ´n Feuermelder hat zwar wahrscheinlich kein Mikro verbaut, aber einen Lautsprecher, der ordentlich wumsen kann. naja.. bin da zwar kein Fachmann, aber ich hab selber schon anno dazumal mit meinen Kopfhörer zu MiniDisc Zeiten Lagerfeuerromantik aufgenommen.. Fragt sich nur, wenn das Ganze bis zu dem Teil auch mit der Membrane des Feuermelders gehen würde: bis wohin ? sind ja batteriebetrieben..
Von daher die Frage: Gibts Hardware-Techniken, wie man bsw. via Funk das gerät so triggert, dass es den Modus switcht und – prädestiniert für diesen Fall – zu einem Sender werden könnte ?
um die VT noch auf die Spitze zu treiben : wie passend, dass gut daran geschraubt wird, in absehbarer Zeit die UKW Frequenzen abzulösen…
Bei den Dingern braucht’s keine VT, da gibt‘ ne echte V …
Schau mal nach der Geschichte der „Rauchmelder retten Leben“-Kampagne, die hinter den Einbauverordnungen steht. Es handelt sich um eine Industriegruppierung, die über 10 Jahre lang harte Lobbyarbeit für eine Einbaupflicht gemacht, inklusive Werbefilmchen für Feuerwehren.
Belastbare statistische Belege für eine Reduktion der Brandtotenzahl gab und gibt es nicht (verschiedene Zeitungen haben dazu Artikel, musste mal suchen).
Durch die Modernisierungsduldungspflicht (§555d BGB) kann zur Miete Wohnenden von Seiten der Vermietergesellschaften jedwede Überwachungswanze vorgeschrieben werden. Es gab auch schon ein entsprechendes Gerichtsurteil.
Diese Verordnungen sind das perfekte trojanische Pferd zur endgülitigen Abwrackung von Unverletzbarkeit der Wohnung und intimer Lebensführung, besonders weil vernetzte und wanzentaugliche Modelle auf dem Vormarsch sind (Google Nest wird nicht lange allein bleiben).
Nicht lustig, wo soll das enden.
Auf jeden Fall aufmachen und genau untersuchen.
Mal was ganz anderes, hat nochmal jemand was von der Volksverschlüsselung gehört? Der Quellcode ist inzwischen auf der Website herunterladbar. Hat sich den mal jemand angeschaut? Weiß jemand wie die Nutzerzahlen inzwischen aussehen?
Zuerst einmal danke für diesen schönen Podcast ich höre euch immer wieder gerne und freue mich jedes Mal wenn ne neue Folge draußen ist auch wenn ich hinterher immer das dringende Bedürfnis habe meine Wohnung mit Kupfernetzen zu tapezieren und nie wieder raus zu gehen.
bei der Diskussion um eine Angabe der „garantierten minderst Sicherheit“ (garantierte Sicherheits Updates bis …) bin ich irgendwie etwas skeptisch wegen der Umsetzbarkeit, natürlich ist die Forderung erst einmal vollkommen legitim und nach vollziehbar und mir fällt grade auch absolut nichts besseres ein (was sinnvolle Kritik natürlich immer schwer macht) aber bei mir gibts da noch ein paar begründete Zweifel.
So wie ich das verstanden habe richtet sich diese Forderung ja vor allem an die deutsche Gesetzgebung was natürlich schon mal ein bisschen am Wirkbereich des, wenn es dann tatschlich so kommen sollte, daraus entstehenden Gesetzes zweifeln lässt. Ich denke nicht das man heut zu tage noch sinnvoll argumentieren kann das, sollten Apple Google Windows etc. sich nicht an diesen deutschen Standard halten ihre Produkte hier in Deutschland nicht mehr vertrieben werden dürfen. Natürlich ist Deutschland ein großer Absatzmarkt für diese Firmen aber ich denke in der Vergangenheit hat sich schon gezeigt das so eine Drohung bei den Firmen dann eher belächelt wird, abgesehen davon das in Deutschland wahrscheinlich 90% der Bevölkerung den verantwortlichen Politiker mit Mistgabeln und Fackeln jagen würde wenn sie plötzlich nicht mehr das neue iPhone oder Android Handy kaufen können. Das Ganze auf europäischer Ebene auf zu ziehen würde vielleicht wenigstens den Druck auf die Firmen erhöhen allerdings habe ich da noch mehr Zweifel wegen der Umsetzbarkeit. Das was am Ende tatsächlich als Gesetz dabei heraus kommen würde hätte wahrscheinlich insgesamt nur noch sehr wenig mit der eigentlich guten Idee zu tun die die „garantierten minderst Sicherheit“ ja eigentlich ist.
Wenn man jetzt mal hypothetisch annimmt das aber trotz aller Zweifel so eine Regulierung zustande kommt bleibt in meinen Augen immer noch die das Problem der örtlichen Begrenzung natürlich würde unser Leben innerhalb des regulierten Bereiches sicherer und einfacher werden jedenfalls bezogen auf die regulierte Technik. Insgesamt würde sich aber wahrscheinlich nicht viel ändern weil im Rest der Welt die Menschen immer noch ihre billig IOT Geräte in unser aller globales Internet stecken und die Rechen Leistung irgendwelchen Bot Netzen zur Verfügung stellen.
Auch die Sache mit der Überprüfbarkeit einer solchen Regelung ist in meinen Augen schwierig geht man dann zur Polizei und schreibt ne anzeige wenn mein iPhone dann doch schon nach 2,5 Jahren keine Updates mehr bekommt anstatt erst nach 3? Und wie viele Leute würde das dann überhaupt interessieren, wenn sogar schon eine Manipulation an des deutschen liebster Technik, dem Auto, quasi ohne Konsequenzen bleibt.
Und natürlich kann man einen „Rat“ gründen in dem sehr viele Leute mit sehr viel Ahnung sitzen und Standards für Geräte festlegen aber die Zeit die diese experten darauf verwenden sich solche Standards zu überlegen will ja auch bezahlt werden und im Normalfall bezahlt der Staat deutlich schlechter als die freie Wirtschaft also würden über kurz oder lang nur noch von der Industrie bezahlte oder über Lobbyisten beeinflusste experten in diesem „Rat“ sitzen die sich dann wieder die Regeln auf schreiben die sie grade so eben sowieso schon aller erfüllen.
Wie gesagt ich bin mir bewusst das das alles keine konstruktive Kritik ist und wer nichts versucht hat eh schon verloren aber alles in allem sehe ich einfach schwarz.
Wahrscheinlich ist die Idee mit der Kupfer Tapete und dem nie wieder raus gehen doch gar nicht so schlecht.
Greife ich gerne auf die Idee mit der Kupfertapete. Was ich nämlich bei der ganzen Diskussion nicht verstehe, warum denn auf einmal jedes Gerät so super sicher sein muss? Ich bleib mal bei deinem Beispiel, der Tapete: Innerhalb ist ein sicherer Raum und da kannst du machen was du willst. Wenn der HF-Dicht ist kannst du sogar beliebige Funkanlagen betreiben (ob das sinnvoll ist, steht auf einem anderen Blatt, Stichwort Gerätetests) Besser als die Tapete ist aber ein anderer Vergleich: Ich stelle die Frage, ob du wenn du einen Schreibtisch in deine Wohnung stellst tatsächlich das teuerste und sicherste Schloss anbringst. Na eben. Was wir wirklich brauchen sind sichere Türschlösser (aka, Router).
Abschließender Gedanke: Wenn die Hersteller wirklich dazu gezwungen werden sollten ihre Boxen dicht zu machen, wäre das ein fataler Schlag gegen freie Software. Die Co-lateral Schäden wären ähnlich groß wie bei der seinerzeitigen Forderung nach geschlossenen W-Lan Access points. Die haben wir nun und beklagen nun, dass keine offenen Zugänge mehr angeboten werden dürfen.
Also der Dialog mit Alexa am Schluß erinnert mich sehr an den Sci-Fi-Film 2001 – Gefangen im Weltall. Dem allwissenden Zentralcomputer ausgeliefert, der die Wahrheit für sich allein beansprucht.
Frank darf gerne öfter vorbeikommen.
Genau, oder seinen eigenen Podcast regelmäßiger machen :)
Oder? Und! :-)
Gute Sendung und es macht immer sehr viel Freude Frank zuzuhören.
Andererseits fand ich diese Sendung besonders deprimierend, da sie gezeigt hat das wir bald nicht mehr weit von Orwells 1984 entfernt sind. Wie schafft ihr es alle, dass ihr trotz alledem noch eine optimistische Zukunftsperspektive seht?
Ohne Optimismus wird’s bestimmt nicht besser.
Sollten wir Friedrich nicht einfach zustimmen und das Supergrundrecht für Sicherheit auf für unsere Geräte einfordern?
Endlich mal wieder eine Folge Alternativlos;)